گروه هکری چینی به نام StormBamboo به یک ISP ناشناس دسترسی پیدا کرده و از این طریق بهروزرسانیهای خودکار نرمافزاری را که از طریق این ISP به کاربران ارسال میشود، با بدافزار آلوده کردهاند. این بدافزار میتواند به دستگاهها یا سیستمهای کاربران آسیب برساند یا اطلاعات آنها را به خطر بیندازد.
این گروه جاسوسی سایبری که با نامهای Evasive Panda، Daggerfly، و StormCloud نیز شناخته میشود، حداقل از سال ۲۰۱۲ فعال بوده و سازمانهای مختلف در چین، هنگکنگ، ماکائو، نیجریه و کشورهای مختلف جنوب شرق و شرق آسیا را هدف قرار داده است.
روز جمعه، محققان تهدیدات سایبری شرکت Volexity فاش کردند که گروه جاسوسی سایبری چینی از مکانیزمهای بهروزرسانی نرمافزار ناامن مبتنی بر HTTP که امضای دیجیتال را اعتبارسنجی نمیکردند، سوءاستفاده کردهاند تا بدافزار را بر روی دستگاههای ویندوز و مک او اس قربانیان مستقر کنند.
شرکت امنیت سایبری Volexity در گزارشی که روز جمعه منتشر شد توضیح داد که وقتی این برنامهها به دنبال دریافت بهروزرسانیهای خود میرفتند، به جای نصب بهروزرسانی مورد نظر، بدافزار نصب میکردند که شامل MACMA و POCOSTICK( که با نام MGBot نیز شناخته میشود ) بود، اما به این دو محدود نمیشد.
برای انجام این کار، مهاجمان درخواستهای DNS قربانیان را رهگیری و تغییر دادند و آنها را با آدرسهای IP مخرب آلوده کردند. این اقدام بدافزار را از سرورهای فرماندهی و کنترل StormBamboo به سیستمهای هدف منتقل کرد، بدون اینکه نیاز به تعامل کاربر باشد.
مهاجمان از فرآیند بهروزرسانی نرمافزار ۵Kplayer که وابستگی به youtube-dl دارد استفاده کردند تا به جای بهروزرسانی قانونی، یک نصبکننده مخرب با در پشتی (backdoor) را که بر روی سرورهای تحت کنترل آنها میزبانی میشد، به سیستمهای کاربران منتقل کنند.
پس از نفوذ به سیستمهای هدف، عاملان تهدید یک افزونه مخرب گوگل کروم به نام (ReloadText) را نصب کردند که به آنها اجازه میداد کوکیهای مرورگر و دادههای ایمیل را جمعآوری و سرقت کنند.
شرکت Volexity گزارش داده است که گروه StormBamboo چندین شرکت فروشنده نرمافزار را که بهروزرسانیهای نرمافزاری خود را بهصورت ناامن انجام میدهند، مورد حمله قرار داده است و در این حملات، از روشهای مختلف و با پیچیدگیهای گوناگون برای توزیع بدافزار استفاده کرده است.
شرکت Volexity به ISP اطلاع داد و با آنها همکاری کرد. ISP دستگاههای کلیدی مختلفی که خدمات مسیریابی ترافیک را در شبکه آنها فراهم میکردند، بررسی کرد. هنگامی که ISP این دستگاهها را مجدداً راهاندازی کرده و برخی از اجزای شبکه را به حالت آفلاین درآورد، آلودگی DNS فوراً متوقف شد.
محققان ESET در ماه آوریل ۲۰۲۳ مشاهده کردند که گروه هکری از ضعفهای موجود در فرآیند بهروزرسانی خودکار برنامه Tencent QQ استفاده کرده و بدافزار در پشتی Pocostick( موسوم به MGBot ) را بر روی سیستمهای ویندوز نصب کردهاند. هدف این حملات سازمانهای غیردولتی بینالمللی بوده است.
تقریباً یک سال بعد، در جولای ۲۰۲۴، تیم جستجوی تهدیدات Symantec هکرهای چینی را مشاهده کرد که یک سازمان غیردولتی آمریکایی در چین و چندین سازمان دیگر در تایوان را با نسخههای جدیدی از بدافزار Macma برای macOS و Nightdoor برای ویندوز هدف قرار دادهاند.
در هر دو مورد، اگرچه مهارت مهاجمان مشهود بود، محققان بر این باور بودند که این حملات supply chain attack بودهاند یا حملات adversary-in-the-middle – AITM ، اما نتوانستند روش دقیق حمله را شناسایی کنند.
