Kelompok peretas asal Tiongkok yang dilacak sebagai StormBamboo telah menyerang penyedia layanan internet (ISP) yang dirahasiakan untuk meracuni pembaruan perangkat lunak otomatis dengan malware.
Juga dilacak sebagai Evasive Panda, Daggerfly, dan StormCloud, kelompok spionase cyber ini telah aktif setidaknya sejak 2012, menargetkan organisasi di seluruh daratan China, Hong Kong, Makau, Nigeria, dan berbagai negara Asia Tenggara dan Timur.
Pada hari Jumat, peneliti ancaman Volexity mengungkapkan bahwa kelompok mata-mata cyber Tiongkok telah mengeksploitasi mekanisme pembaruan perangkat lunak HTTP yang tidak aman yang tidak memvalidasi tanda tangan digital untuk menyebarkan muatan malware pada perangkat Windows dan macOS milik korban.
“Ketika aplikasi-aplikasi ini hendak mengambil pembaruan, alih-alih memasang pembaruan yang dimaksud, mereka malah memasang malware, termasuk namun tidak terbatas pada MACMA dan POCOSTICK (alias MGBot),” kata perusahaan keamanan siber Volexity dijelaskan dalam laporan yang diterbitkan pada hari Jumat.
Untuk melakukannya, para penyerang menyadap dan memodifikasi permintaan DNS korban dan meracuni mereka dengan alamat IP berbahaya. Hal ini mengirimkan malware ke sistem target dari server perintah dan kontrol StormBamboo tanpa memerlukan interaksi pengguna.
Misalnya, mereka memanfaatkan permintaan 5KPlayer untuk memperbarui dependensi youtube-dl untuk mendorong penginstal backdoor yang dihosting di server C2 mereka.
Setelah membahayakan sistem target, pelaku ancaman memasang ekstensi Google Chrome berbahaya (ReloadText), yang memungkinkan mereka mengumpulkan dan mencuri cookie browser dan data email.
“Volexity mengamati StormBamboo menargetkan beberapa vendor perangkat lunak, yang menggunakan alur kerja pembaruan yang tidak aman, menggunakan berbagai tingkat kerumitan dalam langkah-langkah mereka untuk menyebarkan malware,” tambah para peneliti.
“Volexity memberi tahu dan bekerja sama dengan ISP, yang menyelidiki berbagai perangkat utama yang menyediakan layanan perutean lalu lintas di jaringan mereka. Saat ISP melakukan boot ulang dan menonaktifkan berbagai komponen jaringan, keracunan DNS segera berhenti.”
Pada bulan April 2023Peneliti ancaman ESET juga mengamati kelompok peretas yang menyebarkan pintu belakang Windows Pocostick (MGBot) dengan menyalahgunakan mekanisme pembaruan otomatis untuk aplikasi perpesanan Tencent QQ dalam serangan yang menargetkan LSM (lembaga swadaya masyarakat) internasional.
Hampir setahun kemudian, pada bulan Juli 2024Tim pemburu ancaman Symantec menemukan peretas China menargetkan sebuah LSM Amerika di China dan beberapa organisasi di Taiwan dengan versi baru backdoor macOS Macma dan malware Windows Nightdoor.
Dalam kedua kasus, meskipun keterampilan penyerang terlihat jelas, para peneliti meyakini itu adalah serangan rantai pasokan atau serangan musuh di tengah (AITM), tetapi tidak dapat menentukan metode serangan yang tepat.
