नया आईडीड चीनी एपीटी सॉफ्टवेयर अपडेट में पिछले दरवाजे को छुपाता है

2018 के बाद से, पहले से अज्ञात चीनी खतरा अभिनेता चीनी और जापानी लक्ष्यों के खिलाफ एडवर्सरी-इन-द-मिडिल (एआईटीएम) साइबर-जासूसी हमलों में एक नए पिछले दरवाजे का उपयोग कर रहा है।

के विशिष्ट शिकार वह समूह जिसे ESET ने "ब्लैकवुड" नाम दिया है इसमें एक बड़ी चीनी विनिर्माण और व्यापारिक कंपनी, एक जापानी इंजीनियरिंग और विनिर्माण कंपनी का चीनी कार्यालय, चीन और जापान के व्यक्ति और यूके में एक हाई-प्रोफाइल शोध विश्वविद्यालय से जुड़ा एक चीनी भाषी व्यक्ति शामिल हैं।

ब्लैकवुड को अब बाहर किया जा रहा है, इसकी प्रारंभिक ज्ञात गतिविधि के आधे दशक से अधिक समय के बाद, मुख्य रूप से दो चीजों के लिए जिम्मेदार ठहराया जा सकता है: इसकी सहजता से करने की क्षमता लोकप्रिय सॉफ़्टवेयर उत्पादों के अपडेट में मैलवेयर छिपाएँ जैसे WPS Office, और स्वयं मैलवेयर, एक अत्यधिक परिष्कृत जासूसी उपकरण जिसे "NSPX30" कहा जाता है।

ब्लैकवुड और NSPX30

इस बीच, NSPX30 की परिष्कार का श्रेय लगभग पूरे दो दशकों के अनुसंधान और विकास को दिया जा सकता है।

ESET विश्लेषकों के अनुसार, NSPX30 बैकडोर की एक लंबी वंशावली से आता है, जिसे उन्होंने मरणोपरांत "प्रोजेक्ट वुड" नाम दिया है, जिसे पहली बार 9 जनवरी, 2005 को संकलित किया गया था।

प्रोजेक्ट वुड से - जिसका उपयोग, विभिन्न बिंदुओं पर, हांगकांग के एक राजनेता को निशाना बनाने के लिए किया गया था, और फिर ताइवान, हांगकांग और दक्षिण-पूर्व चीन को निशाना बनाने के लिए किया गया था - 2008 के डीसीएम (उर्फ "डार्क स्पेक्टर") सहित अन्य वेरिएंट आए, जो बच गए 2018 तक दुर्भावनापूर्ण अभियान।

उसी वर्ष विकसित NSPX30, इससे पहले आई सभी साइबर जासूसी का चरमोत्कर्ष है।

मल्टीस्टेज्ड, मल्टीफंक्शनल टूल में एक ड्रॉपर, एक डीएलएल इंस्टॉलर, लोडर, ऑर्केस्ट्रेटर और बैकडोर शामिल है, बाद वाले दो अतिरिक्त, स्वैपेबल प्लग-इन के अपने सेट के साथ आते हैं।

गेम का नाम सूचना चोरी है, चाहे वह सिस्टम या नेटवर्क के बारे में डेटा हो, फ़ाइलें और निर्देशिकाएं, क्रेडेंशियल्स, कीस्ट्रोक्स, स्क्रीनग्रैब, ऑडियो, चैट और लोकप्रिय मैसेजिंग ऐप्स से संपर्क सूचियां हों - वीचैट, टेलीग्राम, स्काइप, टेनसेंट क्यूक्यू, आदि - और भी बहुत कुछ।

अन्य प्रतिभाओं के बीच, NSPX30 एक रिवर्स शेल स्थापित कर सकता है, खुद को चीनी एंटीवायरस टूल में अनुमति सूची में जोड़ सकता है और नेटवर्क ट्रैफ़िक को रोक सकता है। यह बाद की क्षमता ब्लैकवुड को अपने कमांड-एंड-कंट्रोल बुनियादी ढांचे को प्रभावी ढंग से छिपाने की अनुमति देती है, जिसने बिना पता लगाए इसके लंबे समय तक चलने में योगदान दिया हो सकता है।

सॉफ़्टवेयर अद्यतनों में छिपा एक पिछला दरवाज़ा

हालाँकि, ब्लैकवुड की सबसे बड़ी चाल उसके सबसे बड़े रहस्य के रूप में भी दोगुनी हो जाती है।

NSPX30 के साथ मशीनों को संक्रमित करने के लिए, यह किसी भी सामान्य चाल का उपयोग नहीं करता है: फ़िशिंग, संक्रमित वेबपेज, आदि। इसके बजाय, जब कुछ पूरी तरह से वैध प्रोग्राम अनएन्क्रिप्टेड HTTP के माध्यम से समान रूप से वैध कॉर्पोरेट सर्वर से अपडेट डाउनलोड करने का प्रयास करते हैं, तो ब्लैकवुड किसी तरह अपने पिछले दरवाजे को भी इंजेक्ट करता है मिश्रण में.

दूसरे शब्दों में, यह किसी विक्रेता का सोलरविंड्स-शैली आपूर्ति श्रृंखला उल्लंघन नहीं है। इसके बजाय, ईएसईटी का अनुमान है कि ब्लैकवुड नेटवर्क प्रत्यारोपण का उपयोग कर सकता है। ऐसे प्रत्यारोपणों को लक्षित नेटवर्क में कमजोर किनारे वाले उपकरणों में संग्रहीत किया जा सकता है अन्य चीनी एपीटी के बीच आम.

NSPX30 को फैलाने के लिए उपयोग किए जा रहे सॉफ़्टवेयर उत्पादों में WPS Office (Microsoft और Google के ऑफ़िस सॉफ़्टवेयर का एक लोकप्रिय मुफ़्त विकल्प), QQ इंस्टेंट मैसेजिंग सेवा (मल्टीमीडिया दिग्गज Tencent द्वारा विकसित), और सोगौ पिनयिन इनपुट मेथड एडिटर (चीन का बाज़ार-) शामिल हैं। करोड़ों उपयोगकर्ताओं के साथ अग्रणी पिनयिन टूल)।

तो संगठन इस खतरे से कैसे बचाव कर सकते हैं? सुनिश्चित करें कि आपका एंडपॉइंट सुरक्षा उपकरण NSPX30 को ब्लॉक करता है, और वैध सॉफ़्टवेयर सिस्टम से संबंधित मैलवेयर का पता लगाने पर ध्यान देता है, ESET के वरिष्ठ मैलवेयर शोधकर्ता मैथ्यू टार्टारे को सलाह देते हैं। "इसके अलावा, एआरपी विषाक्तता जैसे एआईटीएम हमलों की ठीक से निगरानी करें और उन्हें रोकें - आधुनिक स्विचों में ऐसे हमलों को कम करने के लिए डिज़ाइन की गई विशेषताएं हैं," वे कहते हैं। उन्होंने आगे कहा, IPv6 को अक्षम करने से IPv6 SLAAC हमले को विफल करने में मदद मिल सकती है।

टार्टारे का कहना है, "एक अच्छी तरह से विभाजित नेटवर्क भी मदद करेगा, क्योंकि एआईटीएम केवल उस सबनेट को प्रभावित करेगा जहां इसे निष्पादित किया जाता है।"

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
• प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
• प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
• स्रोत: https://www.darkreading.com/application-security/chinese-apt-hides-backdoor-in-software-updates