กลุ่มแฮ็กเกอร์ชาวจีนซึ่งถูกติดตามในชื่อ StormBamboo ทำการเจาะระบบผู้ให้บริการอินเทอร์เน็ต (ISP) ที่ไม่เปิดเผยชื่อรายหนึ่ง เพื่อติดตั้งมัลแวร์ในระบบการอัปเดตซอฟต์แวร์อัตโนมัติ กลุ่มดังกล่าวยังเป็นที่รู้จักในชื่อ Evasive Panda, Daggerfly และ StormCloud ซึ่งพบการเคลื่อนไหวมาตั้งแต่ปี 2012 โดยมุ่งเป้าไปที่องค์กรต่าง ๆ ทั่วประเทศจีน, ฮ่องกง, มาเก๊า, ไนจีเรีย และประเทศต่าง ๆ ในเอเชียตะวันออกเฉียงใต้ และเอเชียตะวันออก
เมื่อวันศุกร์ที่ผ่านมา (2 สิงหาคม 2024) นักวิจัยจาก Volexity เปิดเผยว่ากลุ่มดังกล่าวใช้ประโยชน์จากกลไกการอัปเดตซอฟต์แวร์แบบ HTTP ซึ่งไม่มีการตรวจสอบ digital signatures เพื่อติดตั้ง payload ของมัลแวร์บนอุปกรณ์ Windows และ macOS ของเหยื่อ
Volexity ระบุในรายงานที่เผยแพร่เมื่อวันศุกร์ว่า "เมื่อแอปพลิเคชันเหล่านี้ทำการอัปเดต แทนที่จะได้รับการติดตั้งอัปเดตตามปกติ แต่จะกลายเป็นการติดตั้งมัลแวร์อย่าง MACMA และ POCOSTICK (หรือที่เรียกว่า MGBot) แทน"
เพื่อดำเนินการดังกล่าว ผู้โจมตีจะ intercept และแก้ไข DNS requests ของเหยื่อ และเปลี่ยนเป็นที่อยู่ IP ที่เป็นอันตราย การดำเนินการดังกล่าวจะเป็นการส่งมัลแวร์ไปยังระบบของเป้าหมายจากเซิร์ฟเวอร์ควบคุม และสั่งการของ StormBamboo โดยไม่ต้องมีการดำนินการใด ๆ จากผู้ใช้งาน
ตัวอย่างเช่น การใช้ประโยชน์จาก 5KPlayer requests เพื่ออัปเดต youtube-dl dependency เพื่อส่งแบ็คดอร์ที่โฮสต์อยู่บนเซิร์ฟเวอร์ C2 server ไปแทน
หลังจากที่โจมตีระบบของเป้าหมายได้แล้ว กลุ่มดังกล่าวจะติดตั้ง Google Chrome extension ที่เป็นอันตราย (ReloadText) ซึ่งทำให้พวกเขาสามารถรวบรวมข้อมูล และขโมยคุกกี้ของเบราว์เซอร์ และข้อมูลอีเมลได้
นักวิจัยระบุเพิ่มเติมว่า "Volexity ตรวจพบว่า StormBamboo กำหนดเป้าหมายไปที่ผู้จำหน่ายซอฟต์แวร์หลายราย ซึ่งใช้ workflows การอัปเดตที่ไม่ปลอดภัย โดยใช้ขั้นตอนที่ซับซ้อนแตกต่างกันในการแพร่กระจายมัลแวร์"
"Volexity ได้ร่วมมือกับ ISP ตรวจสอบอุปกรณ์สำคัญต่าง ๆ ที่ให้บริการกำหนดเส้นทางการรับส่งข้อมูลบนเครือข่ายของตน เมื่อ ISP รีบูต และปิดระบบส่วนประกอบต่าง ๆ ของเครือข่าย การโจมตี DNS ก็หยุดลงทันที"
ในเดือนเมษายน 2023 นักวิจัยด้านภัยคุกคามของ ESET พบกลุ่มแฮ็กเกอร์ที่ใช้ Pocostick (MGBot) แบ็คดอร์บน Windows โดยการใช้ประโยชน์จากกลไกการอัปเดตอัตโนมัติของแอปพลิเคชันการส่งข้อความ Tencent QQ ในการโจมตีที่กำหนดเป้าหมายเป็นองค์กร NGO ระหว่างประเทศ
เกือบหนึ่งปีต่อมาในเดือนกรกฎาคม 2024 ทีมตรวจสอบภัยคุกคามของ Symantec ตรวจพบแฮ็กเกอร์ชาวจีนที่โจมตีองค์กร NGO ของอเมริกาในจีน และองค์กรหลายแห่งในไต้หวันโดยใช้แบ็คดอร์ Macma macOS และมัลแวร์ Nightdoor เวอร์ชันใหม่บน Windows
ในทั้งสองกรณี แม้ว่าจะมีหลักฐานเกี่ยวกับวิธีการที่ใช้ในการโจมตี โดยนักวิจัยเชื่อว่าเป็นการโจมตีแบบ supply chain attack หรือการโจมตีแบบ adversary-in-the-middle (AITM) แต่ไม่ยังสามารถระบุเทคนิคที่ใช้ในการโจมตีได้อย่างแน่ชัด
ที่มา : bleepingcomputer
You must be logged in to post a comment.