Hackers sequestraram provedor de serviços de Internet

19/08/2024 mindsecblog Notícias 2

Hackers sequestraram provedor de serviços de Internet para envenenar atualizações de software.

Hackers frequentemente atacam provedores de serviços de ISP para vários propósitos ilícitos. Os mais significativos são interromper serviços de internet, roubar dados sensíveis e muitos mais.

⁤Além disso, esse comprometimento também fornece aos hackers controle sobre um grande número de dispositivos conectados, o que impacta significativamente as atividades maliciosas dos agentes de ameaças de forma positiva.

A Volexity descobriu o método avançado de ataque de envenenamento de DNS em nível de ISP da StormBamboo (também conhecida como Evasive Panda, StormCloud) em meados de 2023. Agora, eles identificaram hackers que sequestraram o provedor de serviços ISP para envenenar atualizações de software.

Hackers sequestraram ISP

O ator capitalizou falhas de segurança em mecanismos de atualização de software, particularmente aqueles que usam conexões HTTP não seguras sem verificação de assinatura digital apropriada.

O StormBamboo sequestrou respostas DNS para alguns domínios usados para atualizações automáticas, de modo que os usuários eram direcionados para downloads maliciosos em vez de atualizações de software legítimas.

Como resultado dessa estratégia, sistemas Windows e macOS de diversas empresas foram infectados por diferentes tipos de malware, como MACMA e POCOSTICK (também conhecido como MGBot).

Este ataque veio com um ponto de entrada oculto, o que destacou a importância da robustez na proteção da infraestrutura de DNS e nos procedimentos de atualização seguros.

Neste ataque sofisticado, StormBamboo utilizou envenenamento de DNS em nível de ISP . Solicitações de atualização legítimas foram redirecionadas para um servidor malicioso em Hong Kong (103.96.130[.]107) após o agente da ameaça comprometer as respostas de DNS.

Fluxo de trabalho AiTM (Fonte – Volexity)

Mecanismos de atualização baseados em HTTP de diferentes aplicativos de software, especialmente o componente YoutubeDL no 5KPlayer, podem ser explorados com esse método.

O StormBamboo inseriu códigos maliciosos em atualizações aparentemente falsas que, ao serem executadas, infectaram sistemas com malware avançado, como MACMA para macOS e POCOSTICK para sistemas operacionais Windows.

Essa técnica não necessitava de nenhuma intervenção do usuário; consequentemente, era extremamente perigosa.

A complexidade deste ataque superou instâncias anteriores, como incidentes CATCHDNS, revelando desenvolvimentos notáveis tanto nas capacidades de malware quanto nos métodos de ataque.

Este evento demonstra o quão crucial é garantir processos seguros de atualização de software, ter proteção de infraestrutura de DNS robusta e permanecer vigilante contra ameaças cibernéticas cada vez mais complexas.

Entre os dispositivos que foram infectados pelo macOS e foram comprometidos, os pesquisadores viram o StormBamboo usando uma extensão complexa e perigosa para o Chrome chamada “RELOADEXT”.

Por meio de um instalador binário personalizado (hash: ee28b3137d65d74c0234eea35fa536af) que alterou o arquivo de Preferências Seguras do navegador, o que ajudou a contornar os recursos de proteção contra adulteração do Chrome.

A extensão estava oculta em uma pasta neste caminho $HOME/Library/Application Support/Google/Chrome/Default/Default/CustomPlug1n/Reload/, fazendo com que parecesse uma ferramenta de compatibilidade do Internet Explorer.

Seu principal objetivo, que foi reorganizado usando Obfuscator[.]io, era exfiltrar cookies do navegador para uma conta do Google Drive que está sob o controle do invasor.

O RELOADEXT utilizou múltiplas camadas de criptografia, com AES sendo empregado internamente para sua lógica e “extensão do Chrome” como chave, enquanto para dados sendo infiltrados, “opizmxn!@309asdf” é usado.

Essa técnica, juntamente com a capacidade comprovada do StormBamboo de explorar ISPs e diversas plataformas, mostra o quão habilidosos esses agentes são em invadir suas redes-alvo.