Siden 2018 har en hidtil ukendt kinesisk trusselskuespiller brugt en ny bagdør i modstander-i-midten (AitM) cyberspionageangreb mod kinesiske og japanske mål.
Specifikke ofre for gruppen, som ESET har kaldt "Blackwood" omfatte en stor kinesisk produktions- og handelsvirksomhed, det kinesiske kontor for en japansk ingeniør- og produktionsvirksomhed, enkeltpersoner i Kina og Japan og en kinesisktalende person med tilknytning til et højt profileret forskningsuniversitet i Storbritannien.
At Blackwood først bliver outet nu, mere end et halvt årti siden dens tidligste kendte aktivitet, kan primært tilskrives to ting: dens evne til ubesværet skjule malware i opdateringer til populære softwareprodukter som WPS Office og selve malwaren, et meget sofistikeret spionageværktøj kaldet "NSPX30."
Blackwood og NSPX30
Det sofistikerede ved NSPX30 kan i mellemtiden tilskrives næsten to hele årtiers forskning og udvikling.
Ifølge ESET-analytikere følger NSPX30 fra en lang række bagdøre, der går tilbage til det, de posthumt har kaldt "Project Wood", der tilsyneladende først blev samlet tilbage den 9. januar 2005.
Fra Project Wood - som på forskellige tidspunkter blev brugt til at målrette en Hongkong-politiker og derefter mål i Taiwan, Hong Kong og det sydøstlige Kina - kom yderligere varianter, herunder 2008's DCM (aka "Dark Spectre"), som overlevede i ondsindede kampagner indtil 2018.
NSPX30, udviklet samme år, er højdepunktet for al cyberspionage, der kom før den.
Det flertrins-multifunktionelle værktøj, der består af en dropper, en DLL-installatør, loaders, orkestrator og bagdør, hvor de to sidstnævnte kommer med deres egne sæt ekstra, udskiftelige plug-ins.
Navnet på spillet er informationstyveri, uanset om det er data om systemet eller netværket, filer og mapper, legitimationsoplysninger, tastetryk, skærmbilleder, lyd, chats og kontaktlister fra populære beskedapps - WeChat, Telegram, Skype, Tencent QQ, osv. - og mere.
Blandt andre talenter kan NSPX30 etablere en omvendt shell, tilføje sig selv til tilladelseslister i kinesiske antivirusværktøjer og opsnappe netværkstrafik. Denne sidstnævnte kapacitet gør det muligt for Blackwood effektivt at skjule sin kommando-og-kontrol-infrastruktur, hvilket kan have bidraget til dets lange løb uden opdagelse.
En bagdør skjult i softwareopdateringer
Blackwoods største trick af alle fungerer dog også som dets største mysterium.
For at inficere maskiner med NSPX30 bruger den ikke nogle af de typiske tricks: phishing, inficerede websider osv. I stedet, når visse helt legitime programmer forsøger at downloade opdateringer fra lige så legitime virksomhedsservere via ukrypteret HTTP, injicerer Blackwood på en eller anden måde også sin bagdør ind i blandingen.
Med andre ord er dette ikke et forsyningskædebrud i SolarWinds-stil af en leverandør. I stedet spekulerer ESET i, at Blackwood muligvis bruger netværksimplantater. Sådanne implantater kan opbevares i sårbare edge-enheder i målrettede netværk, som de er almindelig blandt andre kinesiske APT'er.
Softwareprodukterne, der bruges til at sprede NSPX30, inkluderer WPS Office (et populært gratis alternativ til Microsoft og Googles suite af kontorsoftware), QQ-instant messaging-tjenesten (udviklet af multimediegiganten Tencent) og Sogou Pinyin-inputmetodeeditoren (Kinas marked- førende pinyin-værktøj med hundredvis af millioner af brugere).
Så hvordan kan organisationer forsvare sig mod denne trussel? Sørg for, at dit endpoint-beskyttelsesværktøj blokerer NSPX30, og vær opmærksom på malware-detektion relateret til legitime softwaresystemer, rådgiver Mathieu Tartare, senior malware-forsker hos ESET. "Også overvåg og bloker AitM-angreb korrekt, såsom ARP-forgiftning - moderne switche har funktioner designet til at afbøde sådanne angreb," siger han. Deaktivering af IPv6 kan hjælpe med at forhindre et IPv6 SLAAC-angreb, tilføjer han.
"Et velsegmenteret netværk vil også hjælpe, da AitM kun vil påvirke det undernet, hvor det udføres," siger Tartare.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/application-security/chinese-apt-hides-backdoor-in-software-updates
- :har
- :er
- :hvor
- 2005
- 2008
- 2018
- 7
- 9
- a
- evne
- Om
- aktivitet
- tilføje
- Yderligere
- Tilføjer
- påvirke
- mod
- alias
- Alle
- tillader
- også
- alternativ
- blandt
- an
- Analytikere
- ,
- antivirus
- enhver
- apps
- APT
- AS
- At
- angribe
- Angreb
- forsøg
- opmærksomhed
- lyd
- tilbage
- bagdør
- Bagdøre
- BE
- været
- før
- være
- Bloker
- Blocks
- brud
- by
- kaldet
- kom
- Kampagner
- CAN
- kapacitet
- vis
- kæde
- Kina
- kinesisk
- kommer
- selskab
- kompileret
- Indeholder
- skjule
- tilsluttet
- kontakt
- bidrog
- Corporate
- Legitimationsoplysninger
- Cyber
- mørk
- data
- Dating
- DCM
- årti
- årtier
- konstrueret
- Detektion
- udviklet
- Udvikling
- Enheder
- mapper
- gør ikke
- Doubles
- downloade
- tidligste
- ed
- Edge
- editor
- effektivt
- ubesværet
- Endpoint
- Engineering
- sikre
- lige
- spionage
- etablere
- etc.
- Funktionalitet
- Filer
- Fornavn
- følger
- Til
- Gratis
- fra
- yderligere
- spil
- kæmpe
- størst
- gruppe
- Halvdelen
- Have
- he
- hjælpe
- Skjult
- høj-profil
- stærkt
- Hong
- Hong Kong
- Hvordan
- http
- HTTPS
- Hundreder
- hundreder af millioner
- ID
- in
- omfatter
- Herunder
- enkeltpersoner
- oplysninger
- Infrastruktur
- indgang
- øjeblikkelig
- i stedet
- ind
- isn
- IT
- ITS
- selv
- Jan
- Japan
- japansk
- jpg
- kendt
- Kong
- stor
- legitim
- ligesom
- afstamning
- Lister
- Lang
- Maskiner
- ondsindet
- malware
- Produktion
- markedsledende
- Kan..
- I mellemtiden
- messaging
- metode
- microsoft
- måske
- millioner
- afbøde
- blande
- Moderne
- Overvåg
- mere
- multimedie
- Mystery
- navn
- Som hedder
- næsten
- netværk
- netværkstrafik
- net
- nyligt
- roman
- nu
- of
- Office
- on
- kun
- or
- organisationer
- Andet
- egen
- Betal
- perfekt
- udføres
- person,
- Phishing
- plato
- Platon Data Intelligence
- PlatoData
- punkter
- politiker
- Populær
- tidligere
- primært
- Produkter
- Programmer
- projekt
- korrekt
- beskyttelse
- relaterede
- forskning
- forskning og udvikling
- forsker
- vende
- Kør
- s
- samme
- siger
- tilsyneladende
- senior
- Servere
- tjeneste
- sæt
- Shell
- siden
- Skype
- Software
- en eller anden måde
- sofistikeret
- raffinement
- sydøst
- spøgelse
- spredes
- opbevaret
- subnet
- sådan
- suite
- forsyne
- forsyningskæde
- overlevede
- systemet
- Systemer
- taiwan
- talenter
- mål
- målrettet
- mål
- Telegram
- Tencent
- end
- at
- UK
- tyveri
- deres
- derefter
- de
- ting
- denne
- selvom?
- trussel
- toften
- til
- værktøj
- værktøjer
- Trading
- Trafik
- to
- typisk
- Uk
- universitet
- ukendt
- indtil
- opdateringer
- brug
- anvendte
- brugere
- ved brug af
- forskellige
- Ve
- sælger
- via
- ofre
- Sårbar
- var
- GODT
- Hvad
- hvornår
- hvorvidt
- som
- Hele
- vilje
- med
- uden
- træ
- ord
- år
- Din
- zephyrnet
