Äskettäin tunnustettu kiinalainen APT piilottaa takaoven ohjelmistopäivityksissä

Vuodesta 2018 lähtien aiemmin tuntematon kiinalainen uhkatekijä on käyttänyt uutta takaovea vihollisen keskivaiheilla (AitM) kybervakoiluhyökkäyksissä kiinalaisia ​​ja japanilaisia ​​kohteita vastaan.

Erityisiä uhreja ryhmä, jonka ESET on nimennyt "Blackwood" Mukana on suuri kiinalainen valmistus- ja kauppayhtiö, japanilaisen suunnittelu- ja valmistusyrityksen kiinalainen toimisto, yksityishenkilöitä Kiinassa ja Japanissa sekä kiinaa puhuva henkilö, joka on yhteydessä korkean profiilin tutkimusyliopistoon Isossa-Britanniassa.

Se, että Blackwood on lopetettu vasta nyt, yli puoli vuosikymmentä sen ensimmäisestä tunnetusta toiminnasta, johtuu pääasiassa kahdesta asiasta: sen kyvystä toimia vaivattomasti piilottaa haittaohjelmat suosittujen ohjelmistotuotteiden päivityksissä kuten WPS Office, ja itse haittaohjelma, erittäin kehittynyt vakoilutyökalu nimeltä "NSPX30".

Blackwood ja NSPX30

NSPX30:n kehittyneisyys voidaan puolestaan ​​selittää lähes kahden kokonaisen vuosikymmenen tutkimus- ja kehitystyön ansioksi.

ESETin analyytikoiden mukaan NSPX30 on seurausta takaovien pitkästä linjasta, joka juontaa juurensa siihen, mitä he ovat postuumisti nimenneet "Project Wood", joka ilmeisesti koottiin ensimmäisen kerran 9. tammikuuta 2005.

Project Woodista – jota käytettiin eri kohdissa hongkongilaisen poliitikon kohdistamiseen ja sitten Taiwanin, Hongkongin ja Kaakkois-Kiinan kohteisiin – tuli lisää muunnelmia, mukaan lukien vuoden 2008 DCM (alias "Dark Spectre"), joka säilyi vuonna 2018. haitalliset kampanjat vuoteen XNUMX asti.

Samana vuonna kehitetty NSPX30 on kaiken sitä edeltäneen kybervakoilun huippu.

Monivaiheinen, monikäyttöinen työkalu, joka koostuu dropperista, DLL-asennusohjelmasta, kuormaajista, orkestroijasta ja takaovesta, joista kahdessa jälkimmäisessä on omat lisäosat, vaihdettavat laajennukset.

Pelin nimi on tietovarkaus, olipa kyse sitten järjestelmää tai verkkoa koskevista tiedoista, tiedostoista ja hakemistoista, tunnistetiedoista, näppäinpainalluksista, kuvakaappauksista, äänestä, keskusteluista ja yhteysluetteloista suosituista viestisovelluksista – WeChat, Telegram, Skype, Tencent QQ, jne. - ja enemmän.

Muiden kykyjen ohella NSPX30 voi luoda käänteisen kuoren, lisätä itsensä kiinalaisten virustorjuntatyökalujen sallittujen luetteloihin ja siepata verkkoliikennettä. Tämän jälkimmäisen ominaisuuden ansiosta Blackwood voi tehokkaasti piilottaa komento- ja ohjausinfrastruktuurinsa, mikä on saattanut edistää sen pitkää kestoa ilman havaitsemista.

Ohjelmistopäivityksiin piilotettu takaovi

Blackwoodin suurin temppu on kuitenkin myös sen suurin mysteeri.

Koneiden saastuttamiseen NSPX30:llä se ei käytä mitään tyypillisistä temppuista: tietojenkalastelu, tartunnan saaneet verkkosivut jne. Sen sijaan, kun tietyt täysin lailliset ohjelmat yrittävät ladata päivityksiä yhtä laillisilta yrityksen palvelimilta salaamattoman HTTP:n kautta, Blackwood jollakin tavalla lisää myös takaovensa. seokseen.

Toisin sanoen tämä ei ole toimittajan SolarWinds-tyylinen toimitusketjun rikkomus. Sen sijaan ESET arvelee, että Blackwood saattaa käyttää verkko-implantteja. Tällaisia ​​implantteja voidaan säilyttää haavoittuvissa reunalaitteessa kohdistetuissa verkoissa sellaisenaan yleinen muiden kiinalaisten APT:iden keskuudessa.

NSPX30:n levittämiseen käytettyjä ohjelmistotuotteita ovat WPS Office (suosittu ilmainen vaihtoehto Microsoftin ja Googlen toimistoohjelmistoille), QQ-pikaviestipalvelu (multimediajätti Tencentin kehittämä) ja Sogou Pinyin -syöttömenetelmäeditori (Kiinan markkina- johtava pinyin-työkalu, jolla on satoja miljoonia käyttäjiä).

Joten miten organisaatiot voivat puolustautua tätä uhkaa vastaan? Varmista, että päätepisteen suojaustyökalusi estää NSPX30:n, ja kiinnitä huomiota laillisiin ohjelmistojärjestelmiin liittyviin haittaohjelmien havaitsemiseen, neuvoo Mathieu Tartare, ESETin vanhempi haittaohjelmatutkija. "Seuraa ja estä myös AitM-hyökkäyksiä, kuten ARP-myrkytys, kunnolla - nykyaikaisissa kytkimissä on ominaisuuksia, jotka on suunniteltu vähentämään tällaisia ​​hyökkäyksiä", hän sanoo. IPv6:n poistaminen käytöstä voi auttaa estämään IPv6 SLAAC -hyökkäyksen, hän lisää.

"Hyvin segmentoitu verkko auttaa myös, sillä AitM vaikuttaa vain siihen aliverkkoon, jossa se suoritetaan", Tartare sanoo.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/application-security/chinese-apt-hides-backdoor-in-software-updates