از سال 2018، یک بازیگر تهدیدکننده ناشناخته چینی از یک درب پشتی جدید در حملات جاسوسی سایبری دشمن در وسط (AitM) علیه اهداف چینی و ژاپنی استفاده کرده است.
قربانیان خاص گروهی که ESET آن را "Blackwood" نامگذاری کرده است. شامل یک شرکت بزرگ تولیدی و تجاری چینی، دفتر چینی یک شرکت مهندسی و تولید ژاپنی، افراد در چین و ژاپن، و یک فرد چینی زبان مرتبط با یک دانشگاه تحقیقاتی برجسته در بریتانیا.
این که بلکوود در حال حاضر، بیش از نیم دهه از اولین فعالیت شناختهشدهاش میگذرد، در درجه اول به دو چیز نسبت داده میشود: توانایی آن برای بیدردسر پنهان کردن بدافزار در به روز رسانی محصولات نرم افزاری محبوب مانند WPS Office و خود بدافزار، یک ابزار جاسوسی بسیار پیچیده به نام "NSPX30".
بلک وود و NSPX30
در عین حال، پیچیدگی NSPX30 را می توان به نزدیک به دو دهه تحقیق و توسعه نسبت داد.
به گفته تحلیلگران ESET، NSPX30 از دودمان طولانی دربهای پشتی ناشی میشود که قدمت آنها به چیزی که پس از مرگشان «Project Wood» نامیده میشود، برمیگردد، که ظاهراً اولین بار در 9 ژانویه 2005 گردآوری شد.
از پروژه وود - که در مقاطع مختلف برای هدف قرار دادن یک سیاستمدار هنگ کنگی و سپس اهدافی در تایوان، هنگ کنگ و جنوب شرقی چین مورد استفاده قرار گرفت - انواع دیگری از جمله DCM سال 2008 (معروف به "شبح تاریک") که در سال 2018 جان سالم به در برد. کمپین های مخرب تا سال XNUMX.
NSPX30 که در همان سال توسعه یافت، اوج همه جاسوسی های سایبری است که قبل از آن انجام شده است.
ابزار چند مرحله ای و چند منظوره متشکل از یک قطره چکان، یک نصب کننده DLL، لودرها، ارکستراتور و درب پشتی است که دو مورد آخر با مجموعه ای از افزونه های اضافی و قابل تعویض ارائه می شوند.
نام بازی سرقت اطلاعات است، خواه دادههای مربوط به سیستم یا شبکه، فایلها و دایرکتوریها، اطلاعات کاربری، ضربههای کلید، ضبط صفحه، صدا، چت و لیست مخاطبین از برنامههای پیامرسان محبوب - وی چت، تلگرام، اسکایپ، Tencent QQ، و غیره - و بیشتر.
در میان استعدادهای دیگر، NSPX30 میتواند یک پوسته معکوس ایجاد کند، خود را به لیستهای مجاز در ابزارهای آنتی ویروس چینی اضافه کند و ترافیک شبکه را رهگیری کند. این قابلیت اخیر به بلکوود اجازه میدهد تا زیرساخت فرماندهی و کنترل خود را که ممکن است بدون شناسایی در طولانیمدت آن نقش داشته باشد، به طور مؤثر پنهان کند.
درب پشتی پنهان در به روز رسانی نرم افزار
با این حال، بزرگترین ترفند بلکوود، بزرگترین رمز و راز آن نیز میشود.
برای آلوده کردن ماشینها با NSPX30، از هیچ یک از ترفندهای معمولی استفاده نمیکند: فیشینگ، صفحات وب آلوده، و غیره. در عوض، وقتی برنامههای کاملاً قانونی خاصی سعی میکنند بهروزرسانیها را از سرورهای شرکتی به همان اندازه قانونی از طریق HTTP رمزگذارینشده دانلود کنند، بلکوود به نوعی درپشتی خود را نیز تزریق میکند. به مخلوط
به عبارت دیگر، این یک نقض زنجیره تامین به سبک SolarWinds از یک فروشنده نیست. در عوض، ESET حدس میزند که بلکوود ممکن است از ایمپلنتهای شبکه استفاده کند. چنین ایمپلنت هایی ممکن است در دستگاه های لبه آسیب پذیر در شبکه های هدف ذخیره شوند در میان سایر APTهای چینی رایج است.
محصولات نرم افزاری مورد استفاده برای گسترش NSPX30 شامل WPS Office (یک جایگزین رایگان محبوب برای مجموعه نرم افزارهای آفیس مایکروسافت و گوگل)، سرویس پیام رسانی فوری QQ (توسعه یافته توسط غول چند رسانه ای Tencent) و ویرایشگر روش ورودی Sogou Pinyin (بازار چین- ابزار پینیین پیشرو با صدها میلیون کاربر).
بنابراین چگونه سازمان ها می توانند در برابر این تهدید دفاع کنند؟ متیو تارتار، محقق ارشد بدافزار در ESET، توصیه میکند که ابزار حفاظت نقطه پایانی شما NSPX30 را مسدود کند و به شناسایی بدافزارهای مرتبط با سیستمهای نرمافزاری قانونی توجه کنید. او میگوید: «همچنین، حملات AitM مانند مسمومیت ARP را به درستی کنترل و مسدود کنید – سوئیچهای مدرن دارای ویژگیهایی هستند که برای کاهش چنین حملاتی طراحی شدهاند. او اضافه می کند که غیرفعال کردن IPv6 می تواند به خنثی کردن حمله SLAAC IPv6 کمک کند.
تارتار میگوید: «یک شبکه تقسیمبندی شده به خوبی کمک خواهد کرد، زیرا AitM تنها بر زیرشبکهای که در آن اجرا میشود تأثیر میگذارد.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/application-security/chinese-apt-hides-backdoor-in-software-updates
- : دارد
- :است
- :جایی که
- 2005
- 2008
- 2018
- 7
- 9
- a
- توانایی
- درباره ما
- فعالیت
- اضافه کردن
- اضافی
- می افزاید:
- اثر
- در برابر
- نام
- معرفی
- اجازه می دهد تا
- همچنین
- جایگزین
- در میان
- an
- تحلیلگران
- و
- آنتی ویروس
- هر
- برنامه های
- APT
- AS
- At
- حمله
- حمله
- کوشش
- توجه
- سمعی
- به عقب
- درپشتی
- پشتيباني
- BE
- بوده
- قبل از
- بودن
- مسدود کردن
- بلاک ها
- شکاف
- by
- نام
- آمد
- مبارزات
- CAN
- قابلیت
- معین
- زنجیر
- چین
- چینی
- آینده
- شرکت
- وارد
- شامل
- پنهان کردن، پوشاندن
- متصل
- تماس
- کمک
- شرکت
- مجوزها و اعتبارات
- سایبر
- تاریک
- داده ها
- دوستیابی
- DCM
- دهه
- دهه
- طراحی
- کشف
- توسعه
- پروژه
- دستگاه ها
- دایرکتوری
- ندارد
- دو برابر
- دانلود
- اولین
- ed
- لبه
- سردبیر
- به طور موثر
- زحمت
- نقطه پایانی
- مهندسی
- اطمینان حاصل شود
- به همان اندازه
- جاسوسی
- ایجاد
- و غیره
- امکانات
- فایل ها
- نام خانوادگی
- به دنبال آن است
- برای
- رایگان
- از جانب
- بیشتر
- بازی
- غول
- گوگل
- بزرگترین
- گروه
- نیم
- آیا
- he
- کمک
- پنهان
- مشخصات بالا
- خیلی
- هنگ
- هنگ کنگ
- چگونه
- HTTP
- HTTPS
- صدها نفر
- صدها میلیون
- ID
- in
- شامل
- از جمله
- افراد
- اطلاعات
- شالوده
- ورودی
- فوری
- در عوض
- به
- نیست
- IT
- ITS
- خود
- ژان
- ژاپن
- ژاپنی
- JPG
- شناخته شده
- کنگ
- بزرگ
- قانونی
- پسندیدن
- اصل و نسب
- لیست
- طولانی
- ماشین آلات
- مخرب
- نرم افزارهای مخرب
- تولید
- پیشرو در بازار
- ممکن است..
- در ضمن
- پیام
- روش
- مایکروسافت
- قدرت
- میلیون ها نفر
- کاهش
- مخلوط
- مدرن
- مانیتور
- بیش
- چند رسانه ای
- راز
- نام
- تحت عنوان
- تقریبا
- شبکه
- ترافیک شبکه
- شبکه
- به تازگی
- رمان
- اکنون
- of
- دفتر
- on
- فقط
- or
- سازمان های
- دیگر
- خود
- پرداخت
- کاملا
- انجام
- شخص
- فیشینگ
- افلاطون
- هوش داده افلاطون
- PlatoData
- نقطه
- سیاستمدار
- محبوب
- قبلا
- در درجه اول
- محصولات
- برنامه ها
- پروژه
- به درستی
- حفاظت
- مربوط
- تحقیق
- تحقیق و توسعه
- پژوهشگر
- معکوس
- دویدن
- s
- همان
- می گوید:
- ظاهرا
- ارشد
- سرور
- سرویس
- مجموعه
- صدف
- پس از
- اسکایپ
- نرم افزار
- به نحوی
- مصنوعی
- پیچیدگی
- جنوب شرقی
- شبح
- گسترش
- ذخیره شده
- زیر شبکه
- چنین
- دنباله
- عرضه
- زنجیره تامین
- زنده ماند
- سیستم
- سیستم های
- تایوان
- استعداد
- هدف
- هدف قرار
- اهداف
- تلگرام
- Tencent به
- نسبت به
- که
- La
- انگلستان
- سرقت
- شان
- سپس
- آنها
- اشیاء
- این
- اگر چه؟
- تهدید
- خنثی کردن
- به
- ابزار
- ابزار
- تجارت
- ترافیک
- دو
- نوعی
- Uk
- دانشگاه
- ناشناخته
- تا
- به روز رسانی
- استفاده کنید
- استفاده
- کاربران
- با استفاده از
- مختلف
- Ve
- فروشنده
- از طريق
- قربانیان
- آسیب پذیر
- بود
- خوب
- چی
- چه زمانی
- چه
- که
- تمام
- اراده
- با
- بدون
- چوب
- کلمات
- سال
- شما
- زفیرنت