Malware verspreidt via software-updates door DNS-gegevens ISP's te manipuleren
Een groep cybercriminelen is medio 2023 erin geslaagd malware te verspreiden door in te breken bij internet service providers (ISP's) en DNS-gegevens aan te passen. Zo wisten zij het automatische updateproces van software te manipuleren en malware naar systemen te verspreiden.
Dit meldt beveiligingsbedrijf Volexity. De aanvallen zijn het werk van een groep die StormBamboo wordt genoemd. De groep is ook bekend onder de namen Evasive Panda en StormCloud. Diverse soorten malware zijn verspreid naar zowel macOS- als Windows-systemen van bedrijven. De aanvallers richten zich specifiek op software die onveilige updatemechanismen gebruiken zoals HTTP en digitale handtekeningen van installatiebestanden niet goed valideren. Deze combinatie stelden de aanvallers in staat legitieme software via gemanipuleerde DNS-gegevens malafide software-updates met malware te laten installeren.
'Simpele, maar slimme aanvalsmethode'
Michael Covington, Vice President of Portfolio Strategy bij Jamf: “Dit is een simpele, maar slimme aanvalsmethode die opnieuw benadrukt hoe belangrijk het is om voor elke securitylaag de best practices te volgen op het gebied van cybersecurity. In dit geval zorgden de ontwikkelaars van de gecompromitteerde applicaties voor een backdoor door de integriteit van de updateserver niet te controleren. Het misplaatste vertrouwen in de server en de vervolgens gedownloade updates benadrukt de noodzaak van authenticatie en verificatie voor elke transactie, inclusief geautomatiseerde transacties. Software-updates zoals deze bevatten vaak belangrijke bugfixes. Hoewel we klanten adviseren om patches toe te passen zodra ze beschikbaar zijn, toont deze aanval het belang aan van veilige updateprocessen waarmee organisaties risico’s kunnen verminderen.”
Een uitgebreide analyse van de aanval is hier te vinden.
Meer over Security
Over Wouter Hoeffnagel
