Un APT chinois nouvellement identifié cache une porte dérobée dans les mises à jour logicielles

Depuis 2018, un acteur chinois jusqu’alors inconnu utilise une nouvelle porte dérobée dans le cadre d’attaques de cyberespionnage d’adversaire au milieu (AitM) contre des cibles chinoises et japonaises.

Des victimes spécifiques de le groupe qu'ESET a nommé « Blackwood » comprennent une grande entreprise chinoise de fabrication et de commerce, le bureau chinois d’une entreprise japonaise d’ingénierie et de fabrication, des individus en Chine et au Japon, ainsi qu’une personne parlant chinois liée à une université de recherche de haut niveau au Royaume-Uni.

Le fait que Blackwood ne soit révélé que maintenant, plus d'une demi-décennie après sa première activité connue, peut être attribué principalement à deux choses : sa capacité à dissimuler les logiciels malveillants dans les mises à jour de produits logiciels populaires comme WPS Office, et le malware lui-même, un outil d'espionnage très sophistiqué appelé « NSPX30 ».

Bois noir et NSPX30

La sophistication du NSPX30, quant à elle, peut être attribuée à près de deux décennies entières de recherche et développement.

Selon les analystes d'ESET, NSPX30 découle d'une longue lignée de portes dérobées remontant à ce qu'ils ont nommé à titre posthume « Project Wood », apparemment compilé pour la première fois le 9 janvier 2005.

Du projet Wood – qui, à divers moments, a été utilisé pour cibler un homme politique de Hong Kong, puis des cibles à Taiwan, à Hong Kong et dans le sud-est de la Chine – sont nées d'autres variantes, notamment le DCM de 2008 (alias « Dark Specter »), qui a survécu en 2018. campagnes malveillantes jusqu’en XNUMX.

NSPX30, développé la même année, est l’apogée de tous les cyberespionnages qui l’ont précédé.

L'outil multifonctionnel à plusieurs niveaux comprend un compte-gouttes, un programme d'installation de DLL, des chargeurs, un orchestrateur et une porte dérobée, ces deux derniers étant livrés avec leurs propres ensembles de plug-ins supplémentaires échangeables.

Le nom du jeu est le vol d'informations, qu'il s'agisse de données sur le système ou le réseau, de fichiers et de répertoires, d'informations d'identification, de frappes au clavier, de captures d'écran, d'audio, de discussions et de listes de contacts provenant d'applications de messagerie populaires - WeChat, Telegram, Skype, Tencent QQ, etc. – et plus encore.

Entre autres talents, NSPX30 peut établir un shell inversé, s'ajouter aux listes autorisées des outils antivirus chinois et intercepter le trafic réseau. Cette dernière capacité permet à Blackwood de dissimuler efficacement son infrastructure de commandement et de contrôle, ce qui pourrait avoir contribué à sa longue absence de détection.

Une porte dérobée cachée dans les mises à jour logicielles

Cependant, le plus grand tour de Blackwood est également son plus grand mystère.

Pour infecter les machines avec NSPX30, il n'utilise aucune des astuces classiques : phishing, pages Web infectées, etc. Au lieu de cela, lorsque certains programmes parfaitement légitimes tentent de télécharger des mises à jour à partir de serveurs d'entreprise tout aussi légitimes via HTTP non crypté, Blackwood injecte également sa porte dérobée. dans le mélange.

En d’autres termes, il ne s’agit pas d’une violation de la chaîne d’approvisionnement d’un fournisseur à la manière de SolarWinds. Au lieu de cela, ESET spécule que Blackwood pourrait utiliser des implants réseau. De tels implants pourraient être stockés dans des dispositifs périphériques vulnérables dans des réseaux ciblés, comme c'est le cas commun parmi les autres APT chinois.

Les logiciels utilisés pour diffuser NSPX30 incluent WPS Office (une alternative gratuite populaire à la suite bureautique de Microsoft et Google), le service de messagerie instantanée QQ (développé par le géant du multimédia Tencent) et l'éditeur de méthode de saisie Sogou Pinyin (le marché chinois). outil pinyin leader avec des centaines de millions d'utilisateurs).

Alors, comment les organisations peuvent-elles se défendre contre cette menace ? Assurez-vous que votre outil de protection des points finaux bloque NSPX30 et soyez attentif aux détections de logiciels malveillants liés aux systèmes logiciels légitimes, conseille Mathieu Tartare, chercheur principal en logiciels malveillants chez ESET. « Surveillez et bloquez également correctement les attaques AitM telles que l'empoisonnement ARP : les commutateurs modernes disposent de fonctionnalités conçues pour atténuer de telles attaques », explique-t-il. La désactivation d'IPv6 peut aider à contrecarrer une attaque IPv6 SLAAC, ajoute-t-il.

"Un réseau bien segmenté sera également utile, car l'AitM n'affectera que le sous-réseau où il est exécuté", explique Tartare.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.darkreading.com/application-security/chinese-apt-hides-backdoor-in-software-updates