محققان یک بسته منبع باز محبوب را شناسایی کرده اند که ممکن است بدافزار جاسوسی صنعتی را پنهان کند.
"SqzrFramework480" یک کتابخانه پیوند پویا دات نت (DLL) است که به نظر می رسد مربوط به Bozhon Precision Industry Technology Co.، سازنده چینی لوازم الکترونیکی مصرفی و فناوری های مختلف صنعتی است. توابع بیان شده فایل شامل مدیریت و ایجاد رابط های گرافیکی کاربر (GUI)، مقداردهی اولیه و پیکربندی کتابخانه های بینایی ماشین، تنظیم تنظیمات حرکت روباتیک و موارد دیگر است. در تاریخ 24 ژانویه در مخزن منبع باز NuGet آپلود شد و تا زمان نوشتن این مقاله تاکنون 3,000 بار دانلود شده است.
It may, in the end, be no more than what it says it is. But researchers from ReversingLabs flagged SqzrFramework480 as suspicious in a new report, thanks to a method buried inside that appears to do rather malicious things: capturing screenshots, opening a socket, and exfiltrating data to a concealed IP address.
آیا SqzrFramework480 یک درب پشتی OT است؟
نرم افزار توسعه یافته توسط شرکت های چینی شده است در حملات مخرب زنجیره تامین استفاده می شود قبل، و تهدیدات سایبری برای سیستم های صنعتی در آنجا جدید نیستند
آیا SqzrFramework480 ادامه این روند است؟ پاسخ در روش آن نهفته است، "Init".
کار Init با پینگ کردن یک آدرس IP راه دور شروع می شود. این آدرس IP به عنوان یک آرایه بایت ذخیره می شود که در آن هر بایت یک کاراکتر رمزگذاری شده با ASCII است.
اگر پینگ موفقیت آمیز نبود، برنامه به حالت خواب می رود و 30 ثانیه بعد دوباره امتحان می کند. اگر موفق شد، یک سوکت را باز می کند و به آن آدرس IP متصل می شود. سپس از مانیتوری که روی آن نصب شده است یک اسکرین شات می گیرد، آن را در یک آرایه بایت بسته بندی می کند و از طریق سوکت می فرستد.
از یک طرف، محققان معتقدند، این می تواند به سادگی مکانیزمی برای پخش تصاویر از دوربین Bozhon به یک ایستگاه کاری باشد. اما برخی شواهد زمینهای این نظریه را مخدوش میکند.
برای یک چیز، نامها و کلاسهای SqzrFramework480 معمولاً دارای برچسبهای غیر توصیفی هستند. برای مثال، هیچ کجا نمیتوان نتیجه گرفت که اسکرین شات میگیرد. و چرا آدرس IP که پینگ می کند به صورت یک بایت پنهان است؟ پتر کرهماجر، نویسنده گزارش، خاطرنشان می کند: «این یک نوع عمل مشکوک یا غیر معمول است. "چرا فقط IP را [در متن ساده] وارد نمی کنید؟"
علاوه بر مواردی که برای مبهم کردن Init انجام شده، این واقعیت نیز وجود دارد که بسته توسط یک حساب NuGet غیر توصیفی فهرست شده بود که تنها فهرست قبلی آن "SqzrFramework480.Faker" بود، یک نسخه مبهم از SqzrFramework480.
به جای هر تفنگ سیگاری، SqzrFramework480 زنده و برای دانلود در دسترس است.
کیرهماجر می گوید: «پیشنهاد من این است که کورکورانه به هر بسته اعتماد نکنید. «اگر می توانید، باید خودتان آنها را [به صورت دستی] حسابرسی کنید. و اگر منابع لازم برای انجام این کار را خودتان ندارید، باید از ابزارهایی برای اسکن خودکار آن بستهها استفاده کنید.»
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/ics-ot-security/dubious-nuget-package-chinese-industrial-espionage
- : دارد
- :است
- :نه
- :جایی که
- $UP
- 000
- 24
- 30
- 7
- a
- حساب
- نشانی
- تنظیم
- از نو
- قبلا
- همچنین
- an
- و
- پاسخ
- هر
- ظاهر می شود
- هستند
- صف
- AS
- حسابرسی
- نویسنده
- بطور خودکار
- در دسترس
- درپشتی
- BE
- بوده
- قبل از
- آغاز می شود
- کورکورانه
- اما
- by
- دوربین
- CAN
- جلب
- ضبط
- معین
- زنجیر
- شخصیت
- چینی
- کلاس ها
- CO
- شرکت
- پیکربندی
- متصل
- مصرف کننده
- متنی
- ادامه
- میتوانست
- ایجاد
- داده ها
- توسعه
- do
- میکند
- دان
- دانلود
- دانلود
- پویا
- هر
- الکترونیک
- پایان
- جاسوسی
- هر
- مدرک
- مثال
- واقعیت
- پرونده
- پرچم گذاری شده
- برای
- از جانب
- توابع
- می رود
- رفته
- دست
- آیا
- پنهان کردن
- HTTPS
- شناسایی
- if
- تصاویر
- in
- شامل
- صنعتی
- صنعت
- داخل
- نصب شده
- رابط
- به
- IP
- IP آدرس
- نیست
- IT
- ITS
- ژان
- کار
- JPEG
- تنها
- نوع
- برچسب ها
- بعد
- کتابخانه ها
- کتابخانه
- نهفته است
- محل
- ارتباط دادن
- ذکر شده
- فهرست
- زنده
- دستگاه
- مخرب
- نرم افزارهای مخرب
- مدیریت
- دستی
- سازنده
- ممکن است..
- مکانیزم
- روش
- مانیتور
- بیش
- جنبش
- my
- نام
- خالص
- جدید
- نه
- یادداشت
- هیچ جایی
- مبهم
- of
- on
- ONE
- فقط
- باز کن
- منبع باز
- افتتاح
- باز می شود
- or
- ot
- بسته
- بسته
- پینگ
- افلاطون
- هوش داده افلاطون
- PlatoData
- محبوب
- تمرین
- دقت
- قبلا
- برنامه
- نسبتا
- بقایای
- دور
- گزارش
- مخزن
- محققان
- منابع
- s
- می گوید:
- اسکن
- تصاویر
- ثانیه
- به نظر می رسد
- می فرستد
- تنظیمات
- باید
- به سادگی
- خواب
- منبع
- اظهار داشت:
- ذخیره شده
- جریان
- موفق شدن
- موفق
- عرضه
- زنجیره تامین
- مشکوک
- طول می کشد
- فن آوری
- پیشرفته
- تمایل
- نسبت به
- با تشکر
- که
- La
- آنها
- سپس
- نظریه
- آنجا.
- اینها
- چیز
- اشیاء
- این
- کسانی که
- تهدید
- از طریق
- به
- ابزار
- روند
- اعتماد
- غیر معمول
- آپلود شده
- استفاده کنید
- کاربر
- مختلف
- نسخه
- دید
- بود
- چی
- که
- چرا
- در داخل
- ایستگاه های کاری
- خواهد بود
- نمی خواست
- نوشته
- شما
- خودت
- زفیرنت