Das Cybersicherheitsunternehmen Volexity berichtet von einem neuartigen Infektionsvektor, über den Systeme von Kunden eines nicht näher genannten Internet Service Providers bereits 2023 mit Malware verseucht wurden. Dieser Infektionsvektor sei zunächst schwierig zu identifizieren gewesen, stellte sich dann aber als "DNS Poisoning Attack" heraus: Die chinesische Hackergruppe Stormbamboo hat DNS-Abfrageergebnisse auf Ebene des betroffenen ISP für bestimmte Domains, die automatische Software-Updates liefern sollten, manipuliert und die Nutzer so statt mit gültiger Software mit Maware versorgt.
Stormbamboo hat dabei offenbar auf Software abgezielt, die unsichere Aktualisierungsmechanismen wie HTTP verwendet und die digitale Signatur von Installationsprogrammen nicht ordnungsgemäss validiert. Bei der installierten Malware soll es sich unter anderem um die Familien Pocostick und Macma handeln.
Manipuliert wurden etwa der Update-Mechanismus der App 5KPlayer, um einen Backdoor-Installer auf die Zielsysteme zu bringen. Es sollen aber auch andere Apps missbraucht worden sein: "Volexity beobachtete, wie Stormbamboo auf mehrere Softwareanbieter abzielte, die unsichere Update-Workflows verwenden und unterschiedliche Komplexitätsgrade in ihren Schritten zum Pushen von Malware verwenden. Weitere Details zur Angriffsweise sind einem
Blogbeitrag von Volexity zu entnehmen.
(ubi)
