中国网络间谍行动使用恶意软件更新渗透

关键要点

根据 BleepingComputer，一项未具名的互联网服务提供商遭到攻击，导致中国网络间谍组织 StormBamboo也称为 Daggerfly、Evasive Panda 和 Storm Cloud部署了含有恶意软件的自动软件更新。

在对该互联网服务提供商进行DNS污染攻击后，StormBamboo 利用没有数字签名验证的易受攻击的 HTTP 软件更新机制，促成了 MACMA 和 MgBot 恶意软件在 Windows 和 macOS 系统上的安装。Volexity 的报告披露了此次攻击的细节。攻击者还通过来自 5KPlayer 请求的 youtubedl 依赖项更新分发了一个带后门的安装程序，并安装了一个能提取浏览器 Cookie 和邮件数据的谷歌 Chrome 扩展程序，名为“ReloadText”。Volexity 的研究人员指出：“StormBamboo 针对多个使用不安全更新工作流程的软件供应商，利用其推送恶意软件的步骤复杂性进行了攻击。”研究人员还补充说，一旦该互联网服务提供商在得知入侵后重新启动，DNS 污染就已被供应商避免。

相关阅读： StormBamboo 的攻击模式 恶意软件防御最佳实践