Een groep cybercriminelen heeft in 2023 malware verspreid door in te breken bij internet service providers (ISP’s) en DNS-gegevens aan te passen. Zo wisten zij het automatische updateproces van software te manipuleren en malware naar systemen te verspreiden.
Dat meldt beveiligingsbedrijf Volexity. De aanvallen zijn het werk van een groep die StormBamboo wordt genoemd. De groep is ook bekend onder de namen Evasive Panda en StormCloud. De groep verspreidde diverse soorten malware naar zowel macOS- als Windows-systemen van bedrijven.
De aanvallers richten zich specifiek op software die onveilige updatemechanismen gebruiken zoals HTTP en die digitale handtekeningen van installatiebestanden niet goed valideren. Die combinatie stelde de aanvallers in staat om via gemanipuleerde dns-gegevens hun malafide software-updates te pushen naar verder legitieme installaties.
Een uitgebreide analyse van de aanval is hier te vinden.
In samenwerking met Dutch IT Channel
Fout opgemerkt of meer nieuws? Meld het hier