A mediados de 2023, Volexity detectó y respondió a múltiples incidentes relacionados con sistemas infectados con malware vinculado a StormBamboo (también conocido como Evasive Panda, y previamente rastreado por Volexity bajo «StormCloud«). En esos incidentes, se encontraron múltiples familias de malware implementadas en sistemas macOS y Windows en las redes de las organizaciones víctimas.
El vector de infección de este malware fue inicialmente difícil de establecer, pero luego resultó ser el resultado de un ataque de envenenamiento de DNS a nivel del proveedor de servicios de Internet (ISP). Volexity determinó que StormBamboo estaba alterando las respuestas de las consultas de DNS para dominios específicos vinculados a mecanismos de actualización automática de software. Al parecer, StormBamboo se dirigía al software que utilizaba mecanismos de actualización inseguros, como HTTP, y no validaba correctamente las firmas digitales de los instaladores. Por lo tanto, cuando estas aplicaciones iban a recuperar sus actualizaciones, en lugar de instalar la actualización prevista, instalaban malware, incluidos, entre otros, MACMA y POCOSTICK (también conocidos como MGBot). El flujo de trabajo general utilizado por los atacantes es similar a un incidente anterior investigado por Volexity que se atribuyó a DriftingBamboo, un actor de amenazas que posiblemente esté relacionado con StormBamboo.
En abril de 2023, ESET publicó una entrada de blog sobre una familia de malware que Volexity ha rastreado desde 2018 como POCOSTICK. ESET no tenía evidencia directa, pero propuso que la fuente más probable de infección era un adversario en el medio (AiTM). Volexity ahora puede confirmar este escenario en un caso real y demostrar que el atacante pudo controlar la infraestructura DNS del ISP objetivo para modificar las respuestas DNS en la red de la organización víctima.
Esta entrada del blog explica el vector de infección y da un ejemplo de cómo StormBamboo abusó de una actualización automática. Tenga en cuenta que este es solo un ejemplo; El actor de amenazas ha modificado los flujos de trabajo de instalación para una serie de aplicaciones cuyos mecanismos de actualización son vulnerables a este tipo de ataque.
Visión general
Durante un incidente investigado por Volexity, se descubrió que StormBamboo envenenó las solicitudes de DNS para implementar malware a través de un mecanismo de actualización automática HTTP y las respuestas de envenenamiento para nombres de host legítimos que se utilizaron como servidores de comando y control (C2) de segunda etapa.
Los registros DNS se envenenaron para resolverse en un servidor controlado por el atacante en Hong Kong en la dirección IP . Inicialmente, Volexity sospechó que el firewall de la organización víctima inicial podría haber estado comprometido. Sin embargo, una investigación más profunda reveló que el envenenamiento de DNS no se realizó dentro de la infraestructura objetivo, sino más arriba en el nivel del ISP. Volexity notificó y trabajó con el ISP, que investigó varios dispositivos clave que proporcionaban servicios de enrutamiento de tráfico en su red. A medida que el ISP se reiniciaba y desconectaba varios componentes de la red, el envenenamiento de DNS se detuvo de inmediato. Durante este tiempo, no fue posible identificar un dispositivo específico que se viera comprometido, pero varios componentes de la infraestructura se actualizaron o se dejaron fuera de línea y la actividad cesó
Envenenamiento de DNS: ¡Ahora con el abuso de mecanismos de actualización automática inseguros!
En el caso analizado anteriormente, en el que se utilizó CATCHDNS para modificar las respuestas DNS, el objetivo final de los ataques era modificar el contenido de las páginas por las que navegaban los usuarios. Esto dio lugar a una alerta emergente de JavaScript en la página que pedía al usuario que «actualizara su navegador», lo que descargaría un archivo malicioso del servidor del atacante. En este caso más reciente, el método del atacante para distribuir malware era más sofisticado, abusando de mecanismos de actualización automática inseguros presentes en el software en el entorno de la víctima, por lo que no requería interacción del usuario.
La lógica detrás del abuso de las actualizaciones automáticas es la misma para todas las aplicaciones: la aplicación legítima realiza una solicitud HTTP para recuperar un archivo basado en texto (el formato varía) que contiene la última versión de la aplicación y un enlace al instalador. Dado que el atacante tiene el control de las respuestas DNS para cualquier nombre DNS dado, abusa de este diseño, redirigiendo la solicitud HTTP a un servidor C2 que controla que aloja un archivo de texto falsificado y un instalador malicioso. A continuación se muestra el flujo de trabajo de AiTM.
A mediados de 2023, Volexity detectó y respondió a múltiples incidentes relacionados con sistemas infectados con malware vinculado a StormBamboo (también conocido como Evasive Panda, y previamente rastreado por Volexity bajo «StormCloud«). En esos incidentes, se encontraron múltiples familias de malware implementadas en sistemas macOS y Windows en las redes de las organizaciones víctimas.
El vector de infección de este malware fue inicialmente difícil de establecer, pero luego resultó ser el resultado de un ataque de envenenamiento de DNS a nivel del proveedor de servicios de Internet (ISP). Volexity determinó que StormBamboo estaba alterando las respuestas de las consultas de DNS para dominios específicos vinculados a mecanismos de actualización automática de software. Al parecer, StormBamboo se dirigía al software que utilizaba mecanismos de actualización inseguros, como HTTP, y no validaba correctamente las firmas digitales de los instaladores. Por lo tanto, cuando estas aplicaciones iban a recuperar sus actualizaciones, en lugar de instalar la actualización prevista, instalaban malware, incluidos, entre otros, MACMA y POCOSTICK (también conocidos como MGBot). El flujo de trabajo general utilizado por los atacantes es similar a un incidente anterior investigado por Volexity que se atribuyó a DriftingBamboo, un actor de amenazas que posiblemente esté relacionado con StormBamboo.
En abril de 2023, ESET publicó una entrada de blog sobre una familia de malware que Volexity ha rastreado desde 2018 como POCOSTICK. ESET no tenía evidencia directa, pero propuso que la fuente más probable de infección era un adversario en el medio (AiTM). Volexity ahora puede confirmar este escenario en un caso real y demostrar que el atacante pudo controlar la infraestructura DNS del ISP objetivo para modificar las respuestas DNS en la red de la organización víctima.
Esta entrada del blog explica el vector de infección y da un ejemplo de cómo StormBamboo abusó de una actualización automática. Tenga en cuenta que este es solo un ejemplo; El actor de amenazas ha modificado los flujos de trabajo de instalación para una serie de aplicaciones cuyos mecanismos de actualización son vulnerables a este tipo de ataque.
Visión general
Durante un incidente investigado por Volexity, se descubrió que StormBamboo envenenó las solicitudes de DNS para implementar malware a través de un mecanismo de actualización automática HTTP y las respuestas de envenenamiento para nombres de host legítimos que se utilizaron como servidores de comando y control (C2) de segunda etapa.
Los registros DNS se envenenaron para resolverse en un servidor controlado por el atacante en Hong Kong en la dirección IP . Inicialmente, Volexity sospechó que el firewall de la organización víctima inicial podría haber estado comprometido. Sin embargo, una investigación más profunda reveló que el envenenamiento de DNS no se realizó dentro de la infraestructura objetivo, sino más arriba en el nivel del ISP. Volexity notificó y trabajó con el ISP, que investigó varios dispositivos clave que proporcionaban servicios de enrutamiento de tráfico en su red. A medida que el ISP se reiniciaba y desconectaba varios componentes de la red, el envenenamiento de DNS se detuvo de inmediato. Durante este tiempo, no fue posible identificar un dispositivo específico que se viera comprometido, pero varios componentes de la infraestructura se actualizaron o se dejaron fuera de línea y la actividad cesó
Envenenamiento de DNS: ¡Ahora con el abuso de mecanismos de actualización automática inseguros!
En el caso analizado anteriormente, en el que se utilizó CATCHDNS para modificar las respuestas DNS, el objetivo final de los ataques era modificar el contenido de las páginas por las que navegaban los usuarios. Esto dio lugar a una alerta emergente de JavaScript en la página que pedía al usuario que «actualizara su navegador», lo que descargaría un archivo malicioso del servidor del atacante. En este caso más reciente, el método del atacante para distribuir malware era más sofisticado, abusando de mecanismos de actualización automática inseguros presentes en el software en el entorno de la víctima, por lo que no requería interacción del usuario.
La lógica detrás del abuso de las actualizaciones automáticas es la misma para todas las aplicaciones: la aplicación legítima realiza una solicitud HTTP para recuperar un archivo basado en texto (el formato varía) que contiene la última versión de la aplicación y un enlace al instalador. Dado que el atacante tiene el control de las respuestas DNS para cualquier nombre DNS dado, abusa de este diseño, redirigiendo la solicitud HTTP a un servidor C2 que controla que aloja un archivo de texto falsificado y un instalador malicioso. A continuación se muestra el flujo de trabajo de AiTM.