攻击概述

黑客通过入侵一家未具名的互联网服务提供商（ISP）的路由器或类似设备基础设施，向Windows和Mac用户分发恶意软件。攻击者利用对设备的控制，篡改了至少六款应用程序的更新域名系统（DNS）响应，这些应用程序包括5KPlayer、Quick Heal、Rainmeter、Partition Wizard以及来自Corel和Sogou的软件。

攻击机制

由于这些应用程序的更新机制未使用TLS或加密签名来验证连接或下载的软件，攻击者能够通过控制ISP基础设施成功实施中间人攻击（MitM），将用户重定向到恶意服务器，而非软件制造商运营的合法服务器。这种重定向即使用户使用了未加密的公共DNS服务（如Google的8.8.8.8或Cloudflare的1.1.1.1）也会生效。

DNS污染

攻击者通过DNS污染，篡改了任何DNS服务器的响应，确保查询结果指向攻击者控制的服务器。用户唯一能阻止攻击的方法是使用DNS over HTTPS或DNS over TLS，或避免使用通过未加密连接分发未签名更新的应用程序。

恶意软件传播

以5KPlayer为例，该应用程序使用未加密的HTTP连接检查更新并下载配置文件Youtube.config。攻击者通过DNS污染，从恶意服务器分发恶意版本的Youtube.config文件，该文件下载伪装为PNG图像的可执行文件，最终安装名为MACMA（针对macOS设备）或POCOSTICK（针对Windows设备）的恶意软件。

恶意软件功能

MACMA是一款针对macOS和iOS设备的后门程序，具备设备指纹识别、屏幕截图、文件上传下载、终端命令执行、音频录制和键盘记录等功能。POCOSTICK则至少从2014年开始使用，主要被中国语系的威胁组织Evasive Panda使用。

浏览器插件劫持

在最近的攻击中，StormBamboo迫使macOS设备安装名为RELOADEXT的浏览器插件，该插件伪装为兼容Internet Explorer的插件，实际上窃取浏览器Cookie并发送到攻击者控制的Google Drive账户。

其他技术

攻击者还通过DNS污染劫持了Microsoft用于检测Windows设备是否连接到互联网的域名www.msftconnecttest.com，从而拦截HTTP请求。

防御建议

预防此类攻击的最佳方法是避免使用通过不安全方式更新的软件，或使用DNS over HTTPS或DNS over TLS。虽然后者是可行的，但目前仅有少数DNS提供商支持，如Google的8.8.8.8和Cloudflare的1.1.1.1。

总结

此次攻击揭示了通过ISP基础设施进行DNS污染和中间人攻击的严重威胁，用户应采取更安全的DNS查询方式和避免使用不安全的更新机制来保护自身安全。