Seit 2018 nutzt ein bisher unbekannter chinesischer Bedrohungsakteur eine neuartige Hintertür für Adversary-in-the-Middle (AitM)-Cyberspionageangriffe gegen chinesische und japanische Ziele.
Spezifische Opfer von die Gruppe, die ESET „Blackwood“ genannt hat Dazu gehören ein großes chinesisches Produktions- und Handelsunternehmen, das chinesische Büro eines japanischen Ingenieur- und Produktionsunternehmens, Einzelpersonen in China und Japan sowie eine chinesischsprachige Person, die mit einer hochkarätigen Forschungsuniversität im Vereinigten Königreich verbunden ist.
Dass Blackwood erst jetzt geoutet wird, mehr als ein halbes Jahrzehnt seit seiner frühesten bekannten Aktivität, kann hauptsächlich auf zwei Dinge zurückgeführt werden: seine Fähigkeit, mühelos zu spielen Verstecken Sie Malware in Updates für beliebte Softwareprodukte wie WPS Office und die Malware selbst, ein hochentwickeltes Spionagetool namens „NSPX30“.
Blackwood und NSPX30
Die Ausgereiftheit des NSPX30 ist mittlerweile auf fast zwei Jahrzehnte Forschung und Entwicklung zurückzuführen.
Laut ESET-Analysten reiht sich NSPX30 in eine lange Reihe von Hintertüren ein, die bis zu dem zurückreichen, was sie posthum „Project Wood“ nannten und scheinbar erstmals am 9. Januar 2005 zusammengestellt wurden.
Aus Project Wood – das zu verschiedenen Zeitpunkten gegen einen Hongkonger Politiker und anschließend gegen Taiwan, Hongkong und Südostchina eingesetzt wurde – kamen weitere Varianten, darunter 2008 das DCM (auch bekannt als „Dark Spectre“), das 2018 überlebte bösartige Kampagnen bis XNUMX.
NSPX30 wurde im selben Jahr entwickelt und ist der Höhepunkt aller Cyberspionage, die es davor gab.
Das mehrstufige, multifunktionale Tool besteht aus einem Dropper, einem DLL-Installer, Loadern, Orchestrator und Backdoor, wobei die beiden letzteren mit eigenen Sätzen zusätzlicher, austauschbarer Plug-Ins geliefert werden.
Das Spiel ist Informationsdiebstahl, egal ob es sich um Daten über das System oder das Netzwerk, Dateien und Verzeichnisse, Anmeldeinformationen, Tastenanschläge, Screenshots, Audio, Chats und Kontaktlisten aus beliebten Messaging-Apps handelt – WeChat, Telegram, Skype, Tencent QQ, usw. – und mehr.
Unter anderem kann NSPX30 eine Reverse-Shell einrichten, sich selbst zu Zulassungslisten in chinesischen Antiviren-Tools hinzufügen und Netzwerkverkehr abfangen. Diese letztgenannte Fähigkeit ermöglicht es Blackwood, seine Kommando- und Kontrollinfrastruktur effektiv zu verbergen, was möglicherweise dazu beigetragen hat, dass es lange Zeit unentdeckt blieb.
Eine in Software-Updates versteckte Hintertür
Blackwoods größter Trick von allen ist jedoch gleichzeitig auch sein größtes Geheimnis.
Um Maschinen mit NSPX30 zu infizieren, verwendet es keine der typischen Tricks: Phishing, infizierte Webseiten usw. Stattdessen schleust Blackwood irgendwie auch seine Hintertür ein, wenn bestimmte völlig legitime Programme versuchen, Updates von ebenso legitimen Unternehmensservern über unverschlüsseltes HTTP herunterzuladen in die Mischung.
Mit anderen Worten handelt es sich hierbei nicht um einen Lieferkettenverstoß eines Anbieters im Stil von SolarWinds. Stattdessen spekuliert ESET, dass Blackwood möglicherweise Netzwerkimplantate verwendet. Solche Implantate könnten ohne weiteres in anfälligen Edge-Geräten in Zielnetzwerken gespeichert werden bei anderen chinesischen APTs üblich.
Zu den Softwareprodukten, die zur Verbreitung von NSPX30 verwendet werden, gehören WPS Office (eine beliebte kostenlose Alternative zu Microsofts und Googles Office-Software-Suite), der QQ-Instant-Messaging-Dienst (entwickelt vom Multimedia-Riesen Tencent) und der Eingabemethoden-Editor Sogou Pinyin (Chinas Marktführer). führendes Pinyin-Tool mit Hunderten Millionen Benutzern).
Wie können sich Organisationen gegen diese Bedrohung wehren? Stellen Sie sicher, dass Ihr Endpoint-Schutz-Tool NSPX30 blockiert, und achten Sie auf Malware-Erkennungen im Zusammenhang mit legitimen Softwaresystemen, rät Mathieu Tartare, leitender Malware-Forscher bei ESET. „Überwachen und blockieren Sie außerdem AitM-Angriffe wie ARP-Poisoning ordnungsgemäß – moderne Switches verfügen über Funktionen, die solche Angriffe abschwächen sollen“, sagt er. Die Deaktivierung von IPv6 könne dazu beitragen, einen IPv6-SLAAC-Angriff zu vereiteln, fügt er hinzu.
„Auch ein gut segmentiertes Netzwerk wird hilfreich sein, da sich AitM nur auf das Subnetz auswirkt, in dem es ausgeführt wird“, sagt Tartare.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.darkreading.com/application-security/chinese-apt-hides-backdoor-in-software-updates
- :hast
- :Ist
- :Wo
- 2005
- 2008
- 2018
- 7
- 9
- a
- Fähigkeit
- Über uns
- Aktivität
- hinzufügen
- Zusätzliche
- Fügt
- beeinflussen
- gegen
- Auch bekannt als:
- Alle
- erlaubt
- ebenfalls
- Alternative
- unter
- an
- Business Analysten
- machen
- Antivirus
- jedem
- Apps
- APT
- AS
- At
- Attacke
- Anschläge
- Versuch
- Aufmerksamkeit
- Audio-
- Zurück
- Hintertür-
- Backdoors
- BE
- war
- Bevor
- Sein
- Blockieren
- Blockiert
- Verletzung
- by
- namens
- kam
- Kampagnen
- CAN
- capability
- sicher
- Kette
- China
- chinesisch
- Kommen
- Unternehmen
- kompiliert
- Bestehend
- verbergen
- Sie
- Kontakt
- beigetragen
- Unternehmen
- Referenzen
- Cyber-
- Dunkel
- technische Daten
- Partnersuche
- DCM
- Jahrzehnte
- Jahrzehnte
- entworfen
- Entdeckung
- entwickelt
- Entwicklung
- Geräte
- Verzeichnisse
- doesn
- Doppel
- herunterladen
- früheste
- ed
- Edge
- Herausgeber
- effektiv
- mühelos
- Endpunkt
- Entwicklung
- gewährleisten
- gleichermaßen
- Spionage
- etablieren
- etc
- Eigenschaften
- Mappen
- Vorname
- folgt
- Aussichten für
- Frei
- für
- weiter
- Spiel
- Riese
- größte
- Gruppe an
- Hälfte
- Haben
- he
- Hilfe
- versteckt
- hochkarätig
- hoch
- Hong
- Hongkong
- Ultraschall
- http
- HTTPS
- hunderte
- hunderte Millionen
- ID
- in
- das
- Einschließlich
- Einzelpersonen
- Information
- Infrastruktur
- Varianten des Eingangssignals:
- sofortig
- beantragen müssen
- in
- isn
- IT
- SEINE
- selbst
- Januar
- Japan
- Japanisch
- jpg
- bekannt
- Kong
- grosse
- legitim
- Gefällt mir
- Abstammung
- Listen
- Lang
- Maschinen
- böswilligen
- Malware
- Herstellung
- Marktführend
- Kann..
- Mittlerweile
- Messaging
- Methode
- Microsoft
- könnte
- Millionen
- Mildern
- mischen
- modern
- Überwachen
- mehr
- Multimedia
- Mystery
- Name
- Namens
- fast
- Netzwerk
- Netzwerktraffic
- Netzwerke
- neu
- Roman
- jetzt an
- of
- Office
- on
- einzige
- or
- Organisationen
- Andere
- besitzen
- AUFMERKSAMKEIT
- perfekt
- durchgeführt
- person
- Phishing
- Plato
- Datenintelligenz von Plato
- PlatoData
- Punkte
- Politiker
- Beliebt
- vorher
- in erster Linie
- Produkte
- Programme
- Projekt
- richtig
- Sicherheit
- bezogene
- Forschungsprojekte
- Forschung und Entwicklung
- Forscher
- rückgängig machen
- Führen Sie
- s
- gleich
- sagt
- scheinbar
- Senior
- Fertige Server
- Sets
- Schale
- da
- Skype
- Software
- irgendwie
- anspruchsvoll
- Raffinesse
- Südosten
- Gespenst
- Verbreitung
- gelagert
- Subnetz
- so
- Suite
- liefern
- Supply Chain
- Überlebt
- System
- Systeme und Techniken
- Taiwan
- Talente
- Target
- gezielt
- Ziele
- Telegram
- Tencent
- als
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- Großbritannien
- Diebstahl
- ihr
- dann
- vom Nutzer definierten
- fehlen uns die Worte.
- obwohl?
- Bedrohung
- vereiteln
- zu
- Werkzeug
- Werkzeuge
- Trading
- der Verkehr
- XNUMX
- typisch
- Uk
- Universität
- unbekannt
- bis
- Updates
- -
- benutzt
- Nutzer
- Verwendung von
- verschiedene
- Ve
- Verkäufer
- Opfer
- Verwundbar
- wurde
- GUT
- Was
- wann
- ob
- welche
- ganze
- werden wir
- mit
- ohne
- wood
- Worte
- Jahr
- Ihr
- Zephyrnet
