Cảnh báo tin tặc xâm nhập ISP để thay thế các bản cập nhật phần mềm bằng phần mềm độc hại

Nhóm tin tặc Trung Quốc có tên StormBamboo, còn được biết đến với các tên gọi như Evasive Panda, Daggerfly và StormCloud, đã xâm nhập vào một nhà cung cấp dịch vụ internet (ISP) và lén lút phát tán malware thông qua các bản cập nhật phần mềm tự động.

Nhóm tin tặc này đã lợi dụng các cơ chế cập nhật phần mềm không an toàn, không xác thực chữ ký số, để triển khai các phần mềm độc hại lên thiết bị Windows và macOS của người dùng. Cụ thể, khi các ứng dụng tìm đến để tải bản cập nhật, chúng đã bị thay thế bằng malware, trong đó có MACMA và POCOSTICK (còn gọi là MGBot).

Các tin tặc đã can thiệp và sửa đổi các yêu cầu DNS của nạn nhân, hướng tới các địa chỉ IP độc hại. Điều này cho phép malware được gửi đến hệ thống của nạn nhân từ các máy chủ điều khiển và kiểm soát của StormBamboo mà không cần sự tương tác của người dùng.

Nhóm này đã lợi dụng các yêu cầu cập nhật từ ứng dụng 5KPlayer để phát tán một trình cài đặt có mã độc được lưu trữ trên các máy chủ của chúng.

Sau khi xâm nhập vào hệ thống của mục tiêu, nhóm tin tặc đã cài đặt một tiện ích mở rộng độc hại cho trình duyệt Chrome (ReloadText) giúp họ thu thập và đánh cắp cookie và dữ liệu email của người dùng.

Trước đó, vào tháng 4 năm 2023, các nhà nghiên cứu của ESET cũng đã phát hiện nhóm tin tặc này sử dụng cơ chế cập nhật tự động của ứng dụng nhắn tin Tencent QQ để phát tán backdoor Pocostick (MGBot) trong các cuộc tấn công nhắm vào các tổ chức phi chính phủ quốc tế.