Sejak tahun 2018, aktor ancaman Tiongkok yang sebelumnya tidak dikenal telah menggunakan pintu belakang baru dalam serangan spionase dunia maya musuh di tengah (AitM) terhadap sasaran Tiongkok dan Jepang.
Korban tertentu dari grup yang ESET beri nama โBlackwoodโ termasuk perusahaan manufaktur dan perdagangan besar Tiongkok, kantor perusahaan teknik dan manufaktur Jepang di Tiongkok, individu di Tiongkok dan Jepang, dan orang berbahasa Mandarin yang terhubung dengan universitas riset terkenal di Inggris.
Bahwa Blackwood baru terungkap sekarang, lebih dari setengah dekade sejak aktivitasnya yang paling awal diketahui, terutama dapat dikaitkan dengan dua hal: kemampuannya untuk dengan mudah menyembunyikan malware dalam pembaruan produk perangkat lunak populer seperti WPS Office, dan malware itu sendiri, alat spionase yang sangat canggih yang disebut โNSPX30.โ
Blackwood dan NSPX30
Sementara itu, kecanggihan NSPX30 dapat dikaitkan dengan penelitian dan pengembangan selama hampir dua dekade.
Menurut analis ESET, NSPX30 mengikuti garis panjang backdoor yang berasal dari apa yang mereka beri nama anumerta โProject Wood,โ yang tampaknya pertama kali disusun pada 9 Januari 2005.
Dari Project Wood โ yang, dalam beberapa kesempatan, digunakan untuk menargetkan politisi Hong Kong, dan kemudian menargetkan di Taiwan, Hong Kong, dan Tiongkok tenggara โ muncul varian lebih lanjut, termasuk DCM tahun 2008 (alias โDark Spectreโ), yang bertahan di kampanye jahat hingga 2018.
NSPX30, yang dikembangkan pada tahun yang sama, adalah puncak dari semua spionase dunia maya yang ada sebelumnya.
Alat multifungsi dan bertingkat ini terdiri dari dropper, penginstal DLL, loader, orkestrator, dan pintu belakang, dengan dua pintu belakang dilengkapi dengan rangkaian plug-in tambahan yang dapat ditukar.
Nama permainannya adalah pencurian informasi, baik itu data tentang sistem atau jaringan, file dan direktori, kredensial, penekanan tombol, tangkapan layar, audio, obrolan, dan daftar kontak dari aplikasi perpesanan populer โ WeChat, Telegram, Skype, Tencent QQ, dll. โ dan banyak lagi.
Di antara kemampuan lainnya, NSPX30 dapat membuat shell terbalik, menambahkan dirinya ke daftar yang diizinkan dalam alat antivirus Tiongkok, dan mencegat lalu lintas jaringan. Kemampuan terakhir ini memungkinkan Blackwood untuk secara efektif menyembunyikan infrastruktur komando dan kontrolnya, yang mungkin berkontribusi terhadap tidak terdeteksinya sistem ini dalam jangka panjang.
Pintu Belakang Tersembunyi dalam Pembaruan Perangkat Lunak
Namun, trik terhebat Blackwood juga sekaligus menjadi misteri terbesarnya.
Untuk menginfeksi mesin dengan NSPX30, ia tidak menggunakan trik umum apa pun: phishing, halaman web yang terinfeksi, dll. Sebaliknya, ketika program tertentu yang sah mencoba mengunduh pembaruan dari server perusahaan yang sama sahnya melalui HTTP yang tidak terenkripsi, Blackwood entah bagaimana juga menyuntikkan pintu belakangnya. ke dalam campuran.
Dengan kata lain, ini bukan pelanggaran rantai pasokan vendor seperti SolarWinds. Sebaliknya, ESET berspekulasi bahwa Blackwood mungkin menggunakan implan jaringan. Implan semacam itu mungkin disimpan di perangkat edge yang rentan di jaringan yang ditargetkan umum di antara APT Cina lainnya.
Produk perangkat lunak yang digunakan untuk menyebarkan NSPX30 termasuk WPS Office (alternatif gratis yang populer untuk rangkaian perangkat lunak perkantoran Microsoft dan Google), layanan pesan instan QQ (dikembangkan oleh raksasa multimedia Tencent), dan editor metode masukan Sogou Pinyin (pasar Tiongkok- alat pinyin terkemuka dengan ratusan juta pengguna).
Lalu bagaimana organisasi dapat bertahan melawan ancaman ini? Pastikan alat perlindungan titik akhir Anda memblokir NSPX30, dan perhatikan deteksi malware yang terkait dengan sistem perangkat lunak yang sah, saran Mathieu Tartare, peneliti malware senior di ESET. โSelain itu, pantau dan blokir serangan AitM dengan benar seperti keracunan ARP โ switch modern memiliki fitur yang dirancang untuk memitigasi serangan tersebut,โ katanya. Menonaktifkan IPv6 dapat membantu menggagalkan serangan SLAAC IPv6, tambahnya.
โJaringan yang tersegmentasi dengan baik juga akan membantu, karena AitM hanya akan memengaruhi subnet tempat AitM dijalankan,โ kata Tartare.
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- Sumber: https://www.darkreading.com/application-security/chinese-apt-hides-backdoor-in-software-updates
- :memiliki
- :adalah
- :Di mana
- 2005
- 2008
- 2018
- 7
- 9
- a
- kemampuan
- Tentang Kami
- kegiatan
- menambahkan
- Tambahan
- Menambahkan
- mempengaruhi
- terhadap
- alias
- Semua
- memungkinkan
- juga
- alternatif
- antara
- an
- Analis
- dan
- antivirus
- Apa pun
- aplikasi
- APT
- AS
- At
- menyerang
- Serangan
- usaha
- perhatian
- audio
- kembali
- pintu belakang
- backdoors
- BE
- menjadi
- sebelum
- makhluk
- Memblokir
- Blok
- pelanggaran
- by
- bernama
- datang
- Kampanye
- CAN
- kemampuan
- tertentu
- rantai
- Tiongkok
- Cina
- kedatangan
- perusahaan
- dikompilasi
- Terdiri dari
- menyembunyikan
- terhubung
- kontak
- berkontribusi
- Timeline
- Surat kepercayaan
- maya
- gelap
- data
- kencan
- DCM
- dasawarsa
- dekade
- dirancang
- Deteksi
- dikembangkan
- Pengembangan
- Devices
- direktori
- doesn
- Dobel
- Download
- paling awal
- ed
- Tepi
- editor
- efektif
- mudah
- Titik akhir
- Teknik
- memastikan
- sama
- spionase
- menetapkan
- dll
- Fitur
- File
- Pertama
- berikut
- Untuk
- Gratis
- dari
- lebih lanjut
- permainan
- raksasa
- terbesar
- Kelompok
- Setengah
- Memiliki
- he
- membantu
- Tersembunyi
- profil tinggi
- sangat
- Hong
- Hong Kong
- Seterpercayaapakah Olymp Trade? Kesimpulan
- http
- HTTPS
- Ratusan
- ratusan juta
- ID
- in
- memasukkan
- Termasuk
- individu
- informasi
- Infrastruktur
- memasukkan
- saat
- sebagai gantinya
- ke
- adalah n
- IT
- NYA
- Diri
- jan
- Jepang
- Jepang
- jpg
- dikenal
- Kong
- besar
- sah
- 'like'
- garis keturunan
- daftar
- Panjang
- Mesin
- jahat
- malware
- pabrik
- pemimpin pasar
- Mungkin..
- Sementara itu
- pesan
- metode
- Microsoft
- mungkin
- jutaan
- Mengurangi
- mencampur
- modern
- Memantau
- lebih
- multimedia
- Misteri
- nama
- Bernama
- hampir
- jaringan
- lalu lintas jaringan
- jaringan
- baru saja
- novel
- sekarang
- of
- Office
- on
- hanya
- or
- organisasi
- Lainnya
- sendiri
- Membayar
- benar-benar
- dilakukan
- orang
- Phishing
- plato
- Kecerdasan Data Plato
- Data Plato
- poin
- politikus
- Populer
- sebelumnya
- terutama
- Produk
- program
- proyek
- tepat
- perlindungan
- terkait
- penelitian
- penelitian dan pengembangan
- peneliti
- membalikkan
- Run
- s
- sama
- mengatakan
- tampaknya
- senior
- Server
- layanan
- set
- Kulit
- sejak
- skype
- Perangkat lunak
- entah bagaimana
- mutakhir
- kecanggihan
- tenggara
- momok
- penyebaran
- tersimpan
- subnet
- seperti itu
- rangkaian
- menyediakan
- supply chain
- selamat
- sistem
- sistem
- Taiwan
- bakat
- target
- ditargetkan
- target
- Telegram
- Tencent
- dari
- bahwa
- Grafik
- Inggris
- pencurian
- mereka
- kemudian
- mereka
- hal
- ini
- meskipun?
- ancaman
- menggagalkan
- untuk
- alat
- alat
- Trading
- lalu lintas
- dua
- khas
- Uk
- universitas
- tidak dikenal
- sampai
- Pembaruan
- menggunakan
- bekas
- Pengguna
- menggunakan
- berbagai
- Ve
- penjaja
- melalui
- korban
- Rentan
- adalah
- BAIK
- Apa
- ketika
- apakah
- yang
- seluruh
- akan
- dengan
- tanpa
- kayu
- kata
- tahun
- Anda
- zephyrnet.dll
