平文通信を狙うStormBamboo

StormBambooは脅威アクターです。
以前から活動が確認されている脅威アクターなのですが、最近の活動の内容が研究で明らかになってきました。
内容を見てみましょう。

• DNSシステムを侵害する
  侵害のターゲットはどこかの組織なのですが、そのターゲットの組織を侵害する準備として、そのターゲットの使用するISPのDNSシステムを侵害します。
• 自動更新メカニズムの悪用
  ターゲットの組織では、ソフトウェアの自動更新システムが利用されていました。
  この機構は周期的に動作します。
  動作時には、正規のアプリケーションがHTTP要求を開始し、その応答に従って動作します。
  応答には、本来であれば、その正規のアプリケーションの新しいバージョンを展開する内容が示されているはずです。
  しかし、この動作の際に使用されるHTTP要求の通信先をDNSで解決する際に、その内容がISPでのDNSポイズニングで改ざんされてしまっています。
  このため、正規のアプリケーションが要求した正規のアプリケーションの設置のための行為で入手できるものは別のものとなってしまいます。
  脅威アクターの用意したHTTPサーバにファイルを取りに来た正規のアプリケーションは、悪意のあるインストーラーを取得し実行します。
  AiTM（Adversary in the Middle）が成り立ちました。
• macOSにMacmaを流し込む
  ターゲット組織のmacOSの動作する機器を狙ったこの更新のプロセスは、Macmaを設置してしまいます。
  Macmaはバックドア型マルウェアです。
  被害者のデバイスのフィンガープリンティング、画面キャプチャ、ファイルのダウンロード/アップロード、端末コマンドの実行、録音、キーロギングなどの機能が搭載されています。
• WindowsにPOCOSTICKを流し込む
  ターゲット組織のWindowsの動作する機器を狙ったこの更新のプロセスは、POCOSTICKを設置してしまいます。
  POCOSTICKはモジュラー型マルウェアです。
  別の名前でも追跡されていて、その名前はMgBotです。
  POCOSTICKはいろいろな機能を実現するモジュールを組み込むことができます。

以前も、これらのマルウェアについての話がありました。
「MgBotとMacmaとSuzafk」という記事です。
StormBambooという名前でここでは紹介していますが、この脅威アクターはDaggerflyとも呼ばれているということですね。

平文通信を使ったアプリケーションの更新機構というのは、多く採用されている方式です。
手軽に実装できますので、採用されることが多いということかもしれません。
この被害にあった組織は、マルウェアを設置されてしまうまでのこのプロセスに関して言うと、改善すべき点はなかったのかもしれません。
平文通信で更新を行うアプリケーションを使っていた、DNSを侵害されたISPを使っていた、ということが重なって被害組織となってしまいました。

このような事象を回避するために、アプリケーションの更新機構に平文通信を使用しないようにするというようなアプリケーションベンダーでの取り組みが重要かもしれません。
なんでも暗号化通信を採用すれば安全になるということでもありませんが、こういった攻撃が成り立つ理由を減らすことにはつながりそうです。
いろいろな立場の人が安全のための取り組みを継続していくことが必要なのですね。

StormBamboo Compromises ISP to Abuse Insecure Software Update Mechanisms

https://www.volexity.com/blog/2024/08/02/stormbamboo-compromises-isp-to-abuse-insecure-software-update-mechanisms/