Dal 2018, un attore cinese precedentemente sconosciuto ha utilizzato una nuova backdoor negli attacchi di spionaggio informatico Adversary-in-the-middle (AitM) contro obiettivi cinesi e giapponesi.
Vittime specifiche di il gruppo che ESET ha chiamato “Blackwood” includono una grande società manifatturiera e commerciale cinese, l'ufficio cinese di una società giapponese di ingegneria e produzione, individui in Cina e Giappone e una persona di lingua cinese collegata a un'università di ricerca di alto profilo nel Regno Unito.
Il fatto che Blackwood sia stato scoperto solo adesso, a più di mezzo decennio dalla sua prima attività conosciuta, può essere attribuito principalmente a due cose: la sua capacità di nascondere malware negli aggiornamenti dei prodotti software più diffusi come WPS Office e il malware stesso, uno strumento di spionaggio altamente sofisticato chiamato “NSPX30”.
Blackwood e NSPX30
La sofisticatezza di NSPX30, nel frattempo, può essere attribuita a quasi due interi decenni di ricerca e sviluppo.
Secondo gli analisti di ESET, NSPX30 deriva da una lunga stirpe di backdoor risalenti a quello che hanno postumo chiamato "Progetto Wood", apparentemente compilato per la prima volta il 9 gennaio 2005.
Dal Progetto Wood – che, in vari momenti, è stato utilizzato per prendere di mira un politico di Hong Kong, e poi obiettivi a Taiwan, Hong Kong e nel sud-est della Cina – sono arrivate ulteriori varianti, incluso il DCM del 2008 (noto anche come “Dark Spectre”), che è sopravvissuto in campagne dannose fino al 2018.
NSPX30, sviluppato quello stesso anno, rappresenta l’apogeo di tutto lo spionaggio informatico che lo ha preceduto.
Lo strumento multifunzionale e a più fasi composto da un dropper, un programma di installazione DLL, caricatori, orchestratore e backdoor, con gli ultimi due dotati dei propri set di plug-in aggiuntivi e scambiabili.
Il nome del gioco è il furto di informazioni, che si tratti di dati sul sistema o sulla rete, file e directory, credenziali, sequenze di tasti, schermate, audio, chat ed elenchi di contatti dalle app di messaggistica più popolari: WeChat, Telegram, Skype, Tencent QQ, ecc. - e altro ancora.
Tra gli altri talenti, NSPX30 può stabilire una shell inversa, aggiungersi alle liste consentite negli strumenti antivirus cinesi e intercettare il traffico di rete. Quest’ultima capacità consente a Blackwood di nascondere efficacemente la sua infrastruttura di comando e controllo, che potrebbe aver contribuito al suo lungo periodo senza essere scoperto.
Una backdoor nascosta negli aggiornamenti software
Il più grande trucco di Blackwood, però, funge anche da mistero più grande.
Per infettare le macchine con NSPX30, non utilizza nessuno dei trucchi tipici: phishing, pagine web infette, ecc. Invece, quando alcuni programmi perfettamente legittimi tentano di scaricare aggiornamenti da server aziendali altrettanto legittimi tramite HTTP non crittografato, Blackwood in qualche modo inserisce anche la sua backdoor nella miscela.
In altre parole, questa non è una violazione della catena di fornitura in stile SolarWinds da parte di un fornitore. Invece, ESET ipotizza che Blackwood possa utilizzare impianti di rete. Tali impianti potrebbero essere archiviati in dispositivi periferici vulnerabili in reti mirate, così come sono comune tra gli altri APT cinesi.
I prodotti software utilizzati per diffondere NSPX30 includono WPS Office (una popolare alternativa gratuita alla suite di software per ufficio di Microsoft e Google), il servizio di messaggistica istantanea QQ (sviluppato dal gigante multimediale Tencent) e l'editor del metodo di input Sogou Pinyin (il mercato cinese il principale strumento pinyin con centinaia di milioni di utenti).
Quindi, come possono le organizzazioni difendersi da questa minaccia? Assicurati che lo strumento di protezione degli endpoint blocchi NSPX30 e presta attenzione ai rilevamenti di malware relativi a sistemi software legittimi, consiglia Mathieu Tartare, ricercatore senior di malware presso ESET. "Inoltre, monitora e blocca adeguatamente gli attacchi AitM come l'avvelenamento da ARP: gli switch moderni hanno funzionalità progettate per mitigare tali attacchi", afferma. Disabilitare IPv6 può aiutare a contrastare un attacco SLAAC IPv6, aggiunge.
"Anche una rete ben segmentata sarà di aiuto, poiché l'AitM interesserà solo la sottorete in cui viene eseguito", afferma Tartare.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/application-security/chinese-apt-hides-backdoor-in-software-updates
- :ha
- :È
- :Dove
- 2005
- 2008
- 2018
- 7
- 9
- a
- capacità
- Chi siamo
- attività
- aggiungere
- aggiuntivo
- Aggiunge
- influenzare
- contro
- aka
- Tutti
- consente
- anche
- alternativa
- tra
- an
- Gli analisti
- ed
- antivirus
- in qualsiasi
- applicazioni
- APT
- AS
- At
- attacco
- attacchi
- tentativo
- attenzione
- Audio
- precedente
- porta posteriore
- Backdoor
- BE
- stato
- prima
- essendo
- Bloccare
- Blocchi
- violazione
- by
- detto
- è venuto
- Responsabile Campagne
- Materiale
- capacità
- certo
- catena
- Cina
- Cinese
- arrivo
- azienda
- compilato
- Compreso
- nascondere
- collegato
- contatti
- contribuito
- Aziende
- Credenziali
- Cyber
- Scuro
- dati
- Incontri
- DCM
- decennio
- decenni
- progettato
- rivelazione
- sviluppato
- Mercato
- dispositivi
- directory
- doesn
- doppio
- scaricare
- più presto
- ed
- bordo
- editore
- in maniera efficace
- senza sforzo
- endpoint
- Ingegneria
- garantire
- Allo stesso modo
- spionaggio
- stabilire
- eccetera
- Caratteristiche
- File
- Nome
- segue
- Nel
- Gratis
- da
- ulteriormente
- gioco
- gigante
- maggiore
- Gruppo
- Metà
- Avere
- he
- Aiuto
- nascosto
- alto profilo
- vivamente
- Hong
- 香港
- Come
- http
- HTTPS
- centinaia
- centinaia di milioni
- ID
- in
- includere
- Compreso
- individui
- informazioni
- Infrastruttura
- ingresso
- immediato
- invece
- ai miglioramenti
- ISN
- IT
- SUO
- stessa
- Gen
- Giappone
- Giapponese
- jpg
- conosciuto
- Kong
- grandi
- legittimo
- piace
- lignaggio
- elenchi
- Lunghi
- macchine
- maligno
- il malware
- consigliato per la
- leader di mercato
- Maggio..
- Nel frattempo
- di messaggistica
- metodo
- Microsoft
- forza
- milioni
- Ridurre la perdita dienergia con una
- scelta
- moderno
- Monitorare
- Scopri di più
- Multimedia
- Mistero
- Nome
- Detto
- quasi
- Rete
- traffico di rete
- reti
- recentemente
- romanzo
- adesso
- of
- Office
- on
- esclusivamente
- or
- organizzazioni
- Altro
- proprio
- Paga le
- perfettamente
- eseguita
- persona
- phishing
- Platone
- Platone Data Intelligence
- PlatoneDati
- punti
- politico
- Popolare
- in precedenza
- principalmente
- Prodotti
- Programmi
- progetto
- propriamente
- protezione
- relazionato
- riparazioni
- ricerca e sviluppo
- ricercatore
- invertire
- Correre
- s
- stesso
- dice
- apparentemente
- anziano
- Server
- servizio
- Set
- Conchiglia
- da
- Skype
- Software
- in qualche modo
- sofisticato
- raffinatezza
- sud-est
- spettro
- diffondere
- memorizzati
- sottorete
- tale
- suite
- fornire
- supply chain
- Sopravvissuto
- sistema
- SISTEMI DI TRATTAMENTO
- Taiwan
- talenti
- Target
- mirata
- obiettivi
- Telegram
- Tencent
- di
- che
- I
- Regno Unito
- furto
- loro
- poi
- di
- cose
- questo
- anche se?
- minaccia
- contrastare
- a
- strumenti
- Trading
- traffico
- seconda
- tipico
- Uk
- Università
- Sconosciuto
- fino a quando
- Aggiornamenti
- uso
- utilizzato
- utenti
- utilizzando
- vario
- Ve
- venditore
- via
- vittime
- Vulnerabile
- Prima
- WELL
- Che
- quando
- se
- quale
- tutto
- volere
- con
- senza
- legno
- parole
- anno
- Trasferimento da aeroporto a Sharm
- zefiro
