StormBamboo滥用不安全的软件更新！不要成为受害者！本文探讨了StormBamboo组织如何入侵ISP以篡改软件更新机制并部署恶意软件。

威胁情报公司Volexity透露，一名威胁行为者正在使用ISP级DNS投毒来向其目标传播恶意软件。在​​2023年中期开始的一项调查中，Volexity发现该行为者的目标是利用不安全的更新工作流程来传播恶意软件的软件供应商。

被追踪的APT攻击者StormBamboo（又名Evasive Panda、Bronze Highland、Daggerfly和StormCloud）因针对亚洲组织进行网络间谍活动而臭名昭著。该组织精通利用ISP等第三方发起后续攻击的技术。他们最新的计划是操纵不安全的软件更新机制，悄悄地将恶意软件注入毫无戒心的受害机器上。

Volexity的博客文章透露，其研究人员发现StormBamboo正在更改与自动软件更新机制相关的域的DNS查询响应。攻击者使用HTTP等不安全的更新机制攻击软件，并且未能验证安装程序的数字签名，导致安装恶意软件而不是预期的更新。

此次攻击采用一种称为“中间人”(MITM)的技术，攻击者本质上将自己置于目标设备和受信任的服务器之间。这使他们能够拦截和操纵双方之间的通信。

在ISP被攻陷的案例中，攻击者能够毒害DNS请求，这是将网站地址转换为数字IP地址的关键功能。通过篡改DNS响应，攻击者可以将用户重定向到旨在窃取敏感信息的恶意网站。

攻击者使用信息窃取恶意软件，包括针对Windows设备的MgBot和Pocostick，以及针对MacOS设备的Macma。Evasive Panda使用了十多年的MgBot在今年早些时候被发现针对藏族人口。在Volexity分析的2023年攻击中，某些应用程序请求更新并安装了MgBot和Macma。

MgBot又名Pocostick是一种特别恶意的软件，它采用一系列隐秘技术来逃避检测并从受感染的系统中收集敏感数据。

此外，据观察，StormBamboo部署了一个名为RELOADEXT的恶意浏览器扩展，可能旨在操纵搜索结果或在网络浏览会话中注入广告。

ISP在发现入侵后，迅速采取行动，在Volexity的帮助下减轻损失。关键网络设备重新启动，有效扰乱了攻击者的中间人攻击操作。然而，攻击者已经利用这次干扰，在毫无防备的设备上部署了窃取信息的恶意软件。

“随着ISP重新启动并使网络的各个组件脱机，DNS中毒立即停止。在此期间，无法确定受到攻击的具体设备，但基础设施的各个组件都已更新或处于脱机状态，活动停止了。” ---Volexity