APT چینی با شناسه جدید، درب پشتی را در به‌روزرسانی‌های نرم‌افزار پنهان می‌کند

APT چینی با شناسه جدید، درب پشتی را در به‌روزرسانی‌های نرم‌افزار پنهان می‌کند

تمبر زمان: 26 ژانویه 2024، ساعت 4:00 بعد از ظهر
APT چینی که به تازگی شناسه شده است، درب پشتی را در به‌روزرسانی‌های نرم‌افزاری اطلاعات PlatoBlockchain پنهان می‌کند. جستجوی عمودی Ai.

از سال 2018، یک بازیگر تهدیدکننده ناشناخته چینی از یک درب پشتی جدید در حملات جاسوسی سایبری دشمن در وسط (AitM) علیه اهداف چینی و ژاپنی استفاده کرده است.

قربانیان خاص گروهی که ESET آن را "Blackwood" نامگذاری کرده است. شامل یک شرکت بزرگ تولیدی و تجاری چینی، دفتر چینی یک شرکت مهندسی و تولید ژاپنی، افراد در چین و ژاپن، و یک فرد چینی زبان مرتبط با یک دانشگاه تحقیقاتی برجسته در بریتانیا.

این که بلک‌وود در حال حاضر، بیش از نیم دهه از اولین فعالیت شناخته‌شده‌اش می‌گذرد، در درجه اول به دو چیز نسبت داده می‌شود: توانایی آن برای بی‌دردسر پنهان کردن بدافزار در به روز رسانی محصولات نرم افزاری محبوب مانند WPS Office و خود بدافزار، یک ابزار جاسوسی بسیار پیچیده به نام "NSPX30".

بلک وود و NSPX30

در عین حال، پیچیدگی NSPX30 را می توان به نزدیک به دو دهه تحقیق و توسعه نسبت داد.

به گفته تحلیلگران ESET، NSPX30 از دودمان طولانی درب‌های پشتی ناشی می‌شود که قدمت آن‌ها به چیزی که پس از مرگشان «Project Wood» نامیده می‌شود، برمی‌گردد، که ظاهراً اولین بار در 9 ژانویه 2005 گردآوری شد.

از پروژه وود - که در مقاطع مختلف برای هدف قرار دادن یک سیاستمدار هنگ کنگی و سپس اهدافی در تایوان، هنگ کنگ و جنوب شرقی چین مورد استفاده قرار گرفت - انواع دیگری از جمله DCM سال 2008 (معروف به "شبح تاریک") که در سال 2018 جان سالم به در برد. کمپین های مخرب تا سال XNUMX.

NSPX30 که در همان سال توسعه یافت، اوج همه جاسوسی های سایبری است که قبل از آن انجام شده است.

ابزار چند مرحله ای و چند منظوره متشکل از یک قطره چکان، یک نصب کننده DLL، لودرها، ارکستراتور و درب پشتی است که دو مورد آخر با مجموعه ای از افزونه های اضافی و قابل تعویض ارائه می شوند.

نام بازی سرقت اطلاعات است، خواه داده‌های مربوط به سیستم یا شبکه، فایل‌ها و دایرکتوری‌ها، اطلاعات کاربری، ضربه‌های کلید، ضبط صفحه، صدا، چت و لیست مخاطبین از برنامه‌های پیام‌رسان محبوب - وی چت، تلگرام، اسکایپ، Tencent QQ، و غیره - و بیشتر.

در میان استعدادهای دیگر، NSPX30 می‌تواند یک پوسته معکوس ایجاد کند، خود را به لیست‌های مجاز در ابزارهای آنتی ویروس چینی اضافه کند و ترافیک شبکه را رهگیری کند. این قابلیت اخیر به بلک‌وود اجازه می‌دهد تا زیرساخت فرماندهی و کنترل خود را که ممکن است بدون شناسایی در طولانی‌مدت آن نقش داشته باشد، به طور مؤثر پنهان کند.

درب پشتی پنهان در به روز رسانی نرم افزار

با این حال، بزرگ‌ترین ترفند بلک‌وود، بزرگترین رمز و راز آن نیز می‌شود.

برای آلوده کردن ماشین‌ها با NSPX30، از هیچ یک از ترفندهای معمولی استفاده نمی‌کند: فیشینگ، صفحات وب آلوده، و غیره. در عوض، وقتی برنامه‌های کاملاً قانونی خاصی سعی می‌کنند به‌روزرسانی‌ها را از سرورهای شرکتی به همان اندازه قانونی از طریق HTTP رمزگذاری‌نشده دانلود کنند، بلک‌وود به نوعی درپشتی خود را نیز تزریق می‌کند. به مخلوط

به عبارت دیگر، این یک نقض زنجیره تامین به سبک SolarWinds از یک فروشنده نیست. در عوض، ESET حدس می‌زند که بلک‌وود ممکن است از ایمپلنت‌های شبکه استفاده کند. چنین ایمپلنت هایی ممکن است در دستگاه های لبه آسیب پذیر در شبکه های هدف ذخیره شوند در میان سایر APTهای چینی رایج است.

محصولات نرم افزاری مورد استفاده برای گسترش NSPX30 شامل WPS Office (یک جایگزین رایگان محبوب برای مجموعه نرم افزارهای آفیس مایکروسافت و گوگل)، سرویس پیام رسانی فوری QQ (توسعه یافته توسط غول چند رسانه ای Tencent) و ویرایشگر روش ورودی Sogou Pinyin (بازار چین- ابزار پینیین پیشرو با صدها میلیون کاربر).

بنابراین چگونه سازمان ها می توانند در برابر این تهدید دفاع کنند؟ متیو تارتار، محقق ارشد بدافزار در ESET، توصیه می‌کند که ابزار حفاظت نقطه پایانی شما NSPX30 را مسدود کند و به شناسایی بدافزارهای مرتبط با سیستم‌های نرم‌افزاری قانونی توجه کنید. او می‌گوید: «همچنین، حملات AitM مانند مسمومیت ARP را به درستی کنترل و مسدود کنید – سوئیچ‌های مدرن دارای ویژگی‌هایی هستند که برای کاهش چنین حملاتی طراحی شده‌اند. او اضافه می کند که غیرفعال کردن IPv6 می تواند به خنثی کردن حمله SLAAC IPv6 کمک کند.

تارتار می‌گوید: «یک شبکه تقسیم‌بندی شده به خوبی کمک خواهد کرد، زیرا AitM تنها بر زیرشبکه‌ای که در آن اجرا می‌شود تأثیر می‌گذارد.

تمبر زمان:

بیشتر از تاریک خواندن