De aan China gelinkte dreigingsactor die bekend staat als Ontwijkende panda een anonieme internetprovider (ISP) gecompromitteerd om medio 2023 schadelijke software-updates naar doelwitbedrijven te pushen, wat een nieuw niveau van verfijning van de groep onderstreept.
Evasive Panda, ook bekend onder de namen Bronze Highland, Daggerfly en StormBamboo, is een cyberespionagegroep die al sinds 2012 actief is. Ze maken gebruik van backdoors zoals MgBot (ook bekend als POCOSTICK) en Nightdoor (ook bekend als NetMM en Suzafk) om gevoelige informatie te verzamelen.
Onlangs werd de kwaadwillende partij formeel verantwoordelijk gesteld voor het gebruik van een macOS-malwarevariant genaamd MACMA, die al in 2021 in het wild werd waargenomen.
“StormBamboo is een zeer bekwame en agressieve cybercrimineel die derden (in dit geval een internetprovider) compromitteert om beoogde doelen te bereiken”, aldus Volexity in een vorige week gepubliceerd rapport.
“De verscheidenheid aan malware die door deze kwaadwillende partij in verschillende campagnes wordt gebruikt, geeft aan dat er aanzienlijke inspanningen worden geleverd, met actief ondersteunde payloads voor niet alleen macOS en Windows, maar ook netwerkapparaten.”
Uit openbare rapportages van ESET en Symantec van de afgelopen twee jaar blijkt dat Evasive Panda gebruikmaakt van MgBot en dat het bedrijf bekendstaat om zijn watering hole- en supply chain-aanvallen die gericht zijn op Tibetaanse gebruikers.
Ook bleek dat de aanval een internationale niet-gouvernementele organisatie (NGO) op het Chinese vasteland had aangevallen. MgBot werd via updatekanalen van legitieme applicaties zoals Tencent QQ verspreid.
Hoewel er werd gespeculeerd dat de trojan-updates het resultaat waren van een inbreuk op de toeleveringsketen van de updateservers van Tencent QQ of een geval van een ‘adversary-in-the-middle’-aanval (AitM), bevestigt de analyse van Volexity dat het laatste het gevolg is van een DNS-vergiftigingsaanval op ISP-niveau.
De kwaadwillende partij zou met name DNS-queryreacties aanpassen voor specifieke domeinen die gekoppeld zijn aan automatische software-updatemechanismen. Het zou gaan om software die gebruikmaakt van onveilige updatemechanismen, zoals HTTP, of die geen adequate integriteitscontroles op de installatieprogramma’s uitvoert.
“Er werd ontdekt dat StormBamboo DNS-verzoeken vergiftigde om malware te verspreiden via een automatisch HTTP-updatemechanisme en reacties vergiftigde voor legitieme hostnamen die werden gebruikt als tweede fase command-and-control (C2)-servers”, aldus onderzoekers Ankur Saini, Paul Rascagneres, Steven Adair en Thomas Lancaster.
De aanvalsketens zijn vrij eenvoudig in die zin dat de onveilige updatemechanismen worden misbruikt om MgBot of MACMA te leveren, afhankelijk van het gebruikte besturingssysteem. Volexity zei dat het de betrokken ISP op de hoogte heeft gesteld om de DNS-vergiftigingsaanval te verhelpen.
Eén geval omvatte ook de implementatie van een Google Chrome-extensie op het macOS-apparaat van het slachtoffer door het Secure Preferences-bestand te wijzigen. De browser-add-on pretendeert een tool te zijn die een pagina laadt in de compatibiliteitsmodus met Internet Explorer, maar het hoofddoel is om browsercookies te exfiltreren naar een Google Drive-account dat wordt beheerd door de tegenstander.
“De aanvaller kan DNS-verzoeken onderscheppen en vergiftigen met schadelijke IP-adressen. Vervolgens kan hij deze techniek gebruiken om misbruik te maken van automatische updatemechanismen die HTTP gebruiken in plaats van HTTPS”, aldus de onderzoekers.