Una nueva investigación de la empresa de ciberseguridad Volexity reveló detalles sobre un ataque altamente sofisticado implementado por un actor de amenazas de ciberespionaje de habla china llamado StormBamboo. StormBamboo comprometió a un ISP para modificar algunas respuestas de DNS a consultas de sistemas que solicitaban actualizaciones de software legítimas. Múltiples proveedores de software fueron el objetivo. Las respuestas alteradas llevaron a cargas útiles maliciosas servidas por StormBamboo además de los archivos de actualización legítimos. Las cargas útiles apuntaron a los sistemas operativos macOS y Microsoft Windows. ¿Quién es StormBamboo? StormBamboo, también conocido como Evasive Panda, Daggerfly o Bronze Highland, es un actor de amenazas de ciberespionaje alineado con China, activo desde al menos 2012. El grupo de habla china ha apuntado a muchas organizaciones que se alinean con los intereses chinos en todo el mundo. A lo largo de los años, el grupo ha apuntado a personas en China continental, Hong Kong, Macao y Nigeria. Además, ha apuntado a entidades, incluidos gobiernos, en el sudeste asiático, el este de Asia, Estados Unidos, India y Australia. Cobertura de seguridad de lectura obligada El grupo tiene un largo historial de comprometer infraestructuras legítimas para infectar a sus objetivos con malware personalizado desarrollado para los sistemas operativos Microsoft Windows y macOS. El grupo ha implementado ataques de abrevadero, que consisten en comprometer un sitio web específico para apuntar a sus visitantes e infectarlos con malware. StormBamboo también es capaz de ejecutar ataques de cadena de suministro, como comprometer una plataforma de software, para infectar discretamente a las personas con malware. El grupo también es capaz de apuntar a usuarios de Android. ISP comprometido, respuestas DNS envenenadas El actor de amenazas logró comprometer la infraestructura del ISP de un objetivo para controlar las respuestas DNS de los servidores DNS de ese ISP. Los servidores DNS consisten principalmente en traducir nombres de dominio a direcciones IP, lo que los lleva al sitio web correcto. Un atacante que controle el servidor puede hacer que las computadoras soliciten un nombre de dominio en particular a una dirección IP controlada por el atacante. Esto es exactamente lo que hizo StormBamboo. Si bien no se sabe cómo el grupo comprometió al ISP, Volexity informó que el ISP se reinició y desconectó varios componentes de su red, lo que detuvo inmediatamente la operación de envenenamiento de DNS. El atacante tenía como objetivo alterar las respuestas DNS de varios sitios web de actualización de aplicaciones legítimas diferentes. VER: Por qué su empresa debería considerar implementar extensiones de seguridad DNS Paul Rascagneres, investigador de amenazas en Volexity y autor de la publicación, le dijo a TechRepublic en una entrevista escrita que la empresa no sabe exactamente cómo los actores de amenazas eligieron al ISP. «Los atacantes probablemente hicieron alguna investigación o reconocimiento para identificar cuál es el ISP de la víctima», escribió. «No sabemos si otros ISP se han visto comprometidos; es complicado identificarlo desde el exterior. StormBamboo es un actor de amenazas agresivo. Si este modo operativo fue un éxito para ellos, podrían usarlo en otros ISP para otros objetivos». Abuso de mecanismos de actualización legítimos Múltiples proveedores de software han sido el objetivo de este ataque. Una vez que se envió una solicitud DNS de los usuarios al servidor DNS comprometido, respondió con una dirección IP controlada por el atacante que entregó una actualización real para el software, pero con la carga útil de un atacante. Flujo de trabajo del ataque. Imagen: Volexity El informe de Volexity mostró que varios proveedores de software que utilizan flujos de trabajo de actualización inseguros estaban preocupados y proporcionó un ejemplo con un software llamado 5KPlayer. El software busca actualizaciones para «YoutubeDL» cada vez que se inicia. La verificación se realiza solicitando un archivo de configuración, que indica si hay una nueva versión disponible. Si es así, se descarga desde una URL específica y la ejecuta la aplicación legítima. Sin embargo, el DNS del ISP comprometido llevará a la aplicación a un archivo de configuración modificado, que indica que hay una actualización, pero entrega un paquete YoutubeDL con puerta trasera. La carga útil maliciosa es un archivo PNG que contiene malware MACMA o POCOSTICK/MGBot, según el sistema operativo que solicita la actualización. MACMA infecta MacOS, mientras que POCOSTICK/MGBot infecta los sistemas operativos Microsoft Windows. Cargas útiles maliciosas POCOSTICK, también conocido como MGBot, es un malware personalizado posiblemente desarrollado por StormBamboo, ya que no ha sido utilizado por ningún otro grupo, según ESET. El malware existe desde 2012 y consta de varios módulos que permiten el registro de teclas, el robo de archivos, la interceptación del portapapeles, la captura de transmisiones de audio, el robo de cookies y de credenciales. Por el contrario, MACMA permite el registro de teclas, la toma de huellas digitales del dispositivo de la víctima y la captura de pantalla y audio. También proporciona una línea de comandos al atacante y tiene capacidades de robo de archivos. Google informó inicialmente en 2021 de la presencia del malware MACMA, utilizando ataques de abrevadero para implementarlos. El ataque de Google no se atribuyó a un actor de amenazas, pero se dirigió a los visitantes de los sitios web de Hong Kong de un medio de comunicación y un destacado grupo político y laboral prodemocrático, según Google. Este ataque se alinea con el objetivo de StormBamboo. Volexity también notó similitudes significativas en el código entre la última versión de MACMA y otra familia de malware, GIMMICK, utilizada por el actor de amenazas StormCloud. Finalmente, en un caso posterior a la vulneración del dispositivo macOS de una víctima, Volexity vio al atacante implementar una extensión maliciosa de Google Chrome. El código ofuscado permite al atacante exfiltrar las cookies del navegador a una cuenta de Google Drive controlada por el atacante. ¿Cómo pueden los proveedores de software proteger a los usuarios de las amenazas cibernéticas? Rascagneres dijo a TechRepublic que Volexity identificó varios mecanismos de actualización inseguros específicos de diferentes programas: 5k Player, Quick Heal, Sogou, Rainmeter, Partition Wizard y Corel. Cuando se le preguntó sobre cómo proteger y mejorar los mecanismos de actualización a nivel de los proveedores de software, el investigador insiste en que «los editores de software deben aplicar el mecanismo de actualización HTTPS y verificar el certificado SSL del sitio web donde se descargan las actualizaciones. Además, deben firmar las actualizaciones y verificar esta firma antes de ejecutarlas». Para ayudar a las empresas a detectar la actividad de StormBamboo en sus sistemas, Volexity proporciona reglas YARA para detectar las diferentes cargas útiles y recomienda bloquear los indicadores de compromiso que proporciona la empresa. Divulgación: trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.
