Desde 2018, un actor de amenazas chino previamente desconocido ha estado utilizando una novedosa puerta trasera en ataques de ciberespionaje de adversario en el medio (AitM) contra objetivos chinos y japoneses.
Víctimas específicas de el grupo que ESET ha bautizado como “Blackwood” incluyen una gran empresa manufacturera y comercial china, la oficina china de una empresa japonesa de ingeniería y fabricación, personas en China y Japón, y una persona de habla china relacionada con una universidad de investigación de alto perfil en el Reino Unido.
El hecho de que Blackwood recién esté saliendo a la luz ahora, más de media década desde su primera actividad conocida, se puede atribuir principalmente a dos cosas: su capacidad para ocultar malware en actualizaciones de productos de software populares como WPS Office y el propio malware, una herramienta de espionaje muy sofisticada llamada “NSPX30”.
Blackwood y NSPX30
Mientras tanto, la sofisticación del NSPX30 se puede atribuir a casi dos décadas enteras de investigación y desarrollo.
Según los analistas de ESET, NSPX30 proviene de un largo linaje de puertas traseras que se remonta a lo que llamaron póstumamente "Proyecto Wood", aparentemente compilado por primera vez el 9 de enero de 2005.
Del Proyecto Wood, que en varios momentos se utilizó para atacar a un político de Hong Kong y luego a objetivos en Taiwán, Hong Kong y el sureste de China, surgieron otras variantes, incluido el DCM de 2008 (también conocido como “Espectro Oscuro”), que sobrevivió en campañas maliciosas hasta 2018.
NSPX30, desarrollado ese mismo año, es el apogeo de todo el ciberespionaje anterior.
La herramienta multifuncional de varias etapas constaba de un cuentagotas, un instalador de DLL, cargadores, un orquestador y una puerta trasera; los dos últimos vienen con sus propios conjuntos de complementos adicionales intercambiables.
El nombre del juego es robo de información, ya sean datos sobre el sistema o la red, archivos y directorios, credenciales, pulsaciones de teclas, capturas de pantalla, audio, chats y listas de contactos de aplicaciones de mensajería populares: WeChat, Telegram, Skype, Tencent QQ, etc., y más.
Entre otras capacidades, NSPX30 puede establecer un shell inverso, agregarse a listas permitidas en herramientas antivirus chinas e interceptar el tráfico de red. Esta última capacidad permite a Blackwood ocultar eficazmente su infraestructura de comando y control, lo que puede haber contribuido a su largo tiempo sin ser detectado.
Una puerta trasera oculta en las actualizaciones de software
Sin embargo, el mayor truco de todos de Blackwood también es su mayor misterio.
Para infectar máquinas con NSPX30, no utiliza ninguno de los trucos típicos: phishing, páginas web infectadas, etc. En cambio, cuando ciertos programas perfectamente legítimos intentan descargar actualizaciones de servidores corporativos igualmente legítimos a través de HTTP no cifrado, Blackwood de alguna manera también inyecta su puerta trasera. en la mezcla.
En otras palabras, esta no es una violación de la cadena de suministro de un proveedor al estilo de SolarWinds. En cambio, ESET especula que Blackwood puede estar utilizando implantes de red. Dichos implantes podrían almacenarse en dispositivos de borde vulnerables en redes específicas, como es el caso. común entre otras APT chinas.
Los productos de software que se utilizan para difundir NSPX30 incluyen WPS Office (una popular alternativa gratuita al conjunto de software de oficina de Microsoft y Google), el servicio de mensajería instantánea QQ (desarrollado por el gigante multimedia Tencent) y el editor de métodos de entrada Sogou Pinyin (el editor de métodos de entrada del mercado chino). herramienta pinyin líder con cientos de millones de usuarios).
Entonces, ¿cómo pueden las organizaciones defenderse de esta amenaza? Asegúrese de que su herramienta de protección de endpoints bloquee NSPX30 y preste atención a las detecciones de malware relacionadas con sistemas de software legítimos, aconseja Mathieu Tartare, investigador senior de malware de ESET. "Además, supervise y bloquee adecuadamente los ataques AitM, como el envenenamiento de ARP; los conmutadores modernos tienen características diseñadas para mitigar dichos ataques", dice. Deshabilitar IPv6 puede ayudar a frustrar un ataque SLAAC de IPv6, añade.
"Una red bien segmentada también ayudará, ya que AitM afectará sólo a la subred donde se realiza", afirma Tartare.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/application-security/chinese-apt-hides-backdoor-in-software-updates
- :posee
- :es
- :dónde
- 2005
- 2008
- 2018
- 7
- 9
- a
- capacidad
- Nuestra Empresa
- actividad
- add
- Adicionales
- Añade
- afectar
- en contra
- aka
- Todos
- permite
- también
- alternativa
- entre
- an
- Analistas
- y
- antivirus
- cualquier
- aplicaciones
- APT
- AS
- At
- atacar
- ataques
- intento
- audio
- Atrás
- puerta trasera
- Puertas traseras
- BE
- esto
- antes
- "Ser"
- Bloquear
- Bloques
- incumplimiento
- by
- , que son
- llegó
- Campañas
- PUEDEN
- capacidad
- a ciertos
- cadena
- China
- chino
- viniendo
- compañía
- compilado
- Compuesto
- ocultar
- conectado
- contacte
- contribuido
- Sector empresarial
- Referencias
- ciber
- Oscuro
- datos
- Citas
- DCM
- década
- décadas
- diseñado
- Detección
- desarrollado
- Desarrollo
- Dispositivos
- directorios
- doesn
- Dobles
- descargar
- más temprana
- ed
- Southern Implants
- editor
- de manera eficaz
- sin esfuerzo
- Punto final
- Ingeniería
- garantizar
- igualmente
- espionaje
- establecer
- etc.
- Caracteristicas
- archivos
- Nombre
- siguiente
- Gratuito
- Desde
- promover
- juego
- gigante
- mayores
- Grupo procesos
- A Mitad
- Tienen
- he
- ayuda
- Oculto
- de alto perfil
- altamente
- Hong
- 香港
- Cómo
- http
- HTTPS
- Cientos
- cientos de millones
- ID
- in
- incluir
- Incluye
- individuos
- información
- EN LA MINA
- Las opciones de entrada
- instantáneo
- dentro
- ISN
- IT
- SUS
- sí mismo
- Ene
- Japón
- Japonés
- jpg
- conocido
- Kong
- large
- legítima
- como
- linaje
- Listas
- Largo
- Máquinas
- malicioso
- el malware
- Fabricación
- líder en el mercado
- Puede..
- Mientras tanto
- mensajería
- Método
- Microsoft
- podría
- millones
- Mitigar las
- mezcla
- Moderno
- Monitorear
- más,
- Multimedia
- Mystery
- nombre
- Llamado
- hace casi
- del sistema,
- tráfico de red
- telecomunicaciones
- recién
- novela
- ahora
- of
- Oficina
- on
- , solamente
- or
- para las fiestas.
- Otro
- EL DESARROLLADOR
- Pagar
- perfectamente
- realizado
- persona
- suplantación de identidad
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- puntos
- político
- Popular
- previamente
- las cuales
- Productos
- Programas
- proyecto
- correctamente
- Protección
- relacionado
- la investigación
- la investigación y el desarrollo
- investigador
- marcha atrás
- Ejecutar
- s
- mismo
- dice
- aparentemente
- mayor
- Servidores
- de coches
- Sets
- Cáscara
- desde
- Skype
- Software
- de algun modo
- sofisticado
- sofisticación
- sudeste
- espectro
- propagación
- almacenados
- subred
- tal
- suite
- suministro
- cadena de suministro
- Sobrevivió
- te
- Todas las funciones a su disposición
- Taiwán
- prendas
- Target
- afectados
- tiene como objetivo
- Telegram
- Tencent
- que
- esa
- El
- el Reino Unido
- robo
- su
- luego
- ellos
- cosas
- así
- ¿aunque?
- amenaza
- frustrar
- a
- del IRS
- Plataforma de
- tráfico
- dos
- principiante
- Uk
- universidad
- desconocido
- hasta
- Actualizaciones
- utilizan el
- usado
- usuarios
- usando
- diversos
- Ve
- vendedor
- vía
- las víctimas
- Vulnerable
- fue
- WELL
- ¿
- cuando
- sean
- que
- todo
- seguirá
- sin
- madera
- palabras
- año
- tú
- zephyrnet
