安全研究人员揭露了一起复杂的供应链攻击活动，该活动源自一家未具名互联网服务提供商（ISP）的遭入侵事件。

Volexity公司指出，StormBamboo组织（又称为Evasive Panda、Daggerfly、StormCloud）利用其在该ISP中的立足点，对选定的客户发起了DNS毒化攻击。

Volexity确定，StormBamboo组织篡改了特定域的DNS查询响应，这些域与自动软件更新机制相关。StormBamboo似乎针对的是那些使用不安全更新机制的软件，例如HTTP，这些软件没有正确验证安装程序的数字签名，”它解释道。

“因此，当这些应用程序去获取它们的更新时，它们安装的不是预期的更新，而是包括但不限于MACMA和POCOSTICK（又称为MGBot）在内的恶意软件。”

MACMA是针对macOS的后门恶意软件，而MGBot则作用于Windows系统。

该组织以这种方式针对了多个使用不安全更新流程的供应商，其中包括媒体播放软件5KPlayer。它会将应用程序发出的合法HTTP更新请求重定向至其控制下的命令与控制服务器，该服务器托管着伪造的文本文件和恶意安装程序，Volexity解释道。

有一次，研究人员观察到StormBamboo在一个已被入侵的受害者的机器上部署了一个恶意Chrome扩展。该扩展程序旨在将浏览器cookies数据泄露至由该组织控制的Google云端硬盘账户。

幸运的是，Volexity通知了涉事的ISP，后者对其网络中提供流量路由服务的设备进行了调查。

Volexity表示：“随着ISP重启并将其网络的各个组件下线，DNS毒化立即停止了。”“在此期间，无法确定具体哪台设备被入侵，但基础设施的各部分被更新或保持离线状态，相关活动也就停止了。”