2018 óta egy korábban ismeretlen kínai fenyegetettség szereplője újszerű hátsó ajtót használ a középső ellenség (AitM) kiberkémtámadásai során kínai és japán célpontok ellen.
Konkrét áldozatai a csoport, amelyet az ESET „Blackwood”-nak nevezett el közé tartozik egy nagy kínai gyártó és kereskedelmi vállalat, egy japán mérnöki és gyártó cég kínai irodája, Kínában és Japánban élő magánszemélyek, valamint egy kínaiul beszélő személy, aki kapcsolatban áll egy nagy horderejű brit kutatóegyetemmel.
Az, hogy a Blackwoodot csak most, több mint fél évtizeddel a legkorábbi ismert tevékenysége óta dobják ki, elsősorban két dolognak tudható be: annak, hogy könnyedén tud elrejteni a rosszindulatú programokat a népszerű szoftvertermékek frissítéseiben mint a WPS Office, és maga a rosszindulatú program, az „NSPX30” nevű rendkívül kifinomult kémeszköz.
Blackwood és NSPX30
Eközben az NSPX30 kifinomultsága közel két teljes évtizedes kutatás-fejlesztésnek tudható be.
Az ESET elemzői szerint az NSPX30 a hátsó ajtók hosszú sorából származik, amely egészen a posztumusz „Project Wood” elnevezésig nyúlik vissza, és úgy tűnik, először 9. január 2005-én állították össze.
A Project Wood-ból – amelyet különböző pontokon egy hongkongi politikus célpontjaira, majd Tajvanon, Hongkongban és Délkelet-Kínában támadtak meg – további változatok származtak, köztük a 2008-as DCM (más néven „Dark Specter”), amely 2018-ban fennmaradt. rosszindulatú kampányok XNUMX-ig.
Az ugyanabban az évben kifejlesztett NSPX30 az összes előtte történt kiberkémkedés csúcsa.
A többlépcsős, többfunkciós eszköz egy dropperből, egy DLL-telepítőből, betöltőkből, hangszerelőből és hátsó ajtóból áll, az utóbbi kettő pedig saját kiegészítő, cserélhető beépülő modulokkal érkezik.
A játék neve információlopás, legyen szó a rendszerről vagy a hálózatról, fájlokról és könyvtárakról, hitelesítő adatokról, billentyűleütésekről, képernyőképekről, hangokról, csevegésekről és névjegylistákról a népszerű üzenetküldő alkalmazásokból – WeChat, Telegram, Skype, Tencent QQ, stb – és még sok más.
Többek között az NSPX30 képes létrehozni egy fordított shellt, hozzáadni magát a kínai víruskereső eszközök engedélyezési listájához, és elfogja a hálózati forgalmat. Ez utóbbi képesség lehetővé teszi a Blackwoodnak, hogy hatékonyan elrejtse parancsnoki és irányítási infrastruktúráját, ami hozzájárulhatott a hosszú távú észlelés nélküli működéséhez.
A szoftverfrissítésekben elrejtett hátsó ajtó
Blackwood legnagyobb trükkje azonban egyben a legnagyobb rejtély is.
A gépek NSPX30-zal való megfertőzéséhez nem alkalmazza a tipikus trükköket: adathalászat, fertőzött weboldalak stb. Ehelyett, amikor bizonyos teljesen legitim programok titkosítás nélküli HTTP-n keresztül próbálnak meg frissítéseket letölteni az ugyanilyen legitim vállalati szerverekről, a Blackwood valahogy beilleszti a hátsó ajtót is. a keverékbe.
Más szavakkal, ez nem egy eladó SolarWinds-stílusú ellátási láncának megsértése. Ehelyett az ESET azt feltételezi, hogy Blackwood hálózati implantátumokat használ. Az ilyen implantátumok sérülékeny szélső eszközökben tárolhatók célzott hálózatokban, ahogy vannak gyakori a többi kínai APT között.
Az NSPX30 terjesztésére használt szoftvertermékek közé tartozik a WPS Office (a Microsoft és a Google irodai szoftvereinek népszerű ingyenes alternatívája), a QQ azonnali üzenetküldő szolgáltatás (amelyet a Tencent multimédiás óriás fejlesztett ki) és a Sogou Pinyin beviteli mód-szerkesztő (kínai piac- vezető pinyin eszköz több száz millió felhasználóval).
Hogyan védekezhetnek a szervezetek e fenyegetés ellen? Győződjön meg arról, hogy a végpontvédelmi eszköz blokkolja az NSPX30-at, és figyeljen a legális szoftverrendszerekkel kapcsolatos rosszindulatú programok észlelésére – tanácsolja Mathieu Tartare, az ESET vezető malware-kutatója. „Az AitM-támadásokat, például az ARP-mérgezést is megfelelően figyelje és blokkolja – a modern switchek olyan funkciókkal rendelkeznek, amelyek az ilyen támadások mérséklésére szolgálnak” – mondja. Az IPv6 letiltása segíthet meghiúsítani egy IPv6 SLAAC-támadást – teszi hozzá.
"Egy jól szegmentált hálózat is segít, mivel az AitM csak arra az alhálózatra lesz hatással, ahol végrehajtja" - mondja Tartare.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/application-security/chinese-apt-hides-backdoor-in-software-updates
- :van
- :is
- :ahol
- 2005
- 2008
- 2018
- 7
- 9
- a
- képesség
- Rólunk
- tevékenység
- hozzá
- További
- Hozzáteszi
- érint
- ellen
- aka
- Minden termék
- lehetővé teszi, hogy
- Is
- alternatív
- között
- an
- Az elemzők
- és a
- víruskereső
- bármilyen
- alkalmazások
- APT
- AS
- At
- támadás
- Támadások
- kísérlet
- figyelem
- hang-
- vissza
- hátsó ajtó
- Hátsóajtó
- BE
- óta
- előtt
- hogy
- Blokk
- Blocks
- megsértése
- by
- hívott
- jött
- Kampányok
- TUD
- képesség
- bizonyos
- lánc
- Kína
- kínai
- érkező
- vállalat
- összeállított
- Tartalmaz
- leplezni
- összefüggő
- kapcsolat
- hozzájárultak
- Társasági
- Hitelesítő adatok
- cyber
- sötét
- dátum
- Ismerkedés
- DCM
- évtized
- évtizedek
- tervezett
- Érzékelés
- fejlett
- Fejlesztés
- Eszközök
- könyvtárak
- nem
- Páros
- letöltés
- legkorábbi
- ed
- él
- szerkesztő
- hatékonyan
- erőfeszítés nélkül
- Endpoint
- Mérnöki
- biztosítására
- egyaránt
- kémkedés
- létrehozni
- stb.
- Jellemzők
- Fájlok
- vezetéknév
- következik
- A
- Ingyenes
- ból ből
- további
- játék
- óriás
- legnagyobb
- Csoport
- fél
- Legyen
- he
- segít
- Rejtett
- nagy horderejű
- nagyon
- Hong
- Hong Kong
- Hogyan
- http
- HTTPS
- Több száz
- több száz millió
- ID
- in
- tartalmaz
- Beleértve
- egyének
- információ
- Infrastruktúra
- bemenet
- azonnali
- helyette
- bele
- Hát
- IT
- ITS
- maga
- január
- Japán
- japán
- jpg
- ismert
- Kong
- nagy
- jogos
- mint
- leszármazás
- listák
- Hosszú
- gép
- rosszindulatú
- malware
- gyártási
- piacvezető
- Lehet..
- Közben
- üzenetküldés
- módszer
- microsoft
- esetleg
- Több millió
- Enyhít
- keverje
- modern
- monitor
- több
- multimédia
- Rejtély
- név
- Nevezett
- közel
- hálózat
- hálózati forgalom
- hálózatok
- újonnan
- regény
- Most
- of
- Office
- on
- csak
- or
- szervezetek
- Más
- saját
- Fizet
- tökéletesen
- teljesített
- person
- Adathalászat
- Plató
- Platón adatintelligencia
- PlatoData
- pont
- politikus
- Népszerű
- korábban
- elsősorban
- Termékek
- Programok
- program
- megfelelően
- védelem
- összefüggő
- kutatás
- kutatás és fejlesztés
- kutató
- fordított
- futás
- s
- azonos
- azt mondja,
- látszólag
- idősebb
- Szerverek
- szolgáltatás
- Szettek
- Héj
- óta
- Skype
- szoftver
- valahogy
- kifinomult
- kifinomultság
- délkeleti
- kísértet
- terjedése
- memorizált
- alhálózati
- ilyen
- kíséret
- kínálat
- ellátási lánc
- túlélte
- rendszer
- Systems
- Taiwan
- tehetségek
- cél
- célzott
- célok
- Telegram
- Tencent
- mint
- hogy
- A
- Az Egyesült Királyságban
- lopás
- azok
- akkor
- ők
- dolgok
- ezt
- bár?
- fenyegetés
- keresztben
- nak nek
- szerszám
- szerszámok
- Kereskedés
- forgalom
- kettő
- tipikus
- Uk
- egyetemi
- ismeretlen
- -ig
- Frissítés
- használ
- használt
- Felhasználók
- segítségével
- különféle
- Ve
- eladó
- keresztül
- áldozatok
- Sebezhető
- volt
- JÓL
- Mit
- amikor
- vajon
- ami
- egész
- lesz
- val vel
- nélkül
- faipari
- szavak
- év
- A te
- zephyrnet
