APT הסינית שזוהתה לאחרונה מסתירה דלת אחורית בעדכוני תוכנה

מאז 2018, שחקן איום סיני שלא היה ידוע בעבר משתמש בדלת אחורית חדשנית בהתקפות ריגול סייבר של יריב באמצע (AitM) נגד מטרות סיניות ויפניות.

קורבנות ספציפיים של הקבוצה ש-ESET כינתה "בלאקווד" כוללים חברת ייצור ומסחר סינית גדולה, משרד סיני של חברת הנדסה וייצור יפנית, אנשים בסין וביפן, ואדם דובר סינית הקשור לאוניברסיטת מחקר בעלת פרופיל גבוה בבריטניה.

את זה שבלאקווד יוצא לדרך רק עכשיו, יותר מחצי עשור מאז פעילותה המוכרת ביותר, אפשר לייחס בעיקר לשני דברים: היכולת שלה ללא מאמץ להסתיר תוכנות זדוניות בעדכונים עבור מוצרי תוכנה פופולריים כמו WPS Office, והתוכנה הזדונית עצמה, כלי ריגול מתוחכם ביותר בשם "NSPX30".

בלאקווד ו-NSPX30

בינתיים, ניתן לייחס את התחכום של NSPX30 לכמעט שני עשורים שלמים של מחקר ופיתוח.

לפי אנליסטים של ESET, ה-NSPX30 נובע משושלת ארוכה של דלתות אחוריות שמקורן במה שהם כינו לאחר מותו "פרויקט עץ", שלכאורה חובר לראשונה ב-9 בינואר 2005.

מפרויקט ווד - שבנקודות שונות שימש למטרת פוליטיקאי מהונג קונג, ולאחר מכן מטרות בטייוואן, הונג קונג ודרום מזרח סין - הגיעו גרסאות נוספות, כולל DCM של 2008 (הידוע גם בשם "הספק האפל"), ששרד ב מסעות פרסום זדוניים עד 2018.

NSPX30, שפותח באותה שנה, הוא הפוגה של כל ריגול הסייבר שהגיע לפניו.

הכלי הרב-שלבי והרב תכליתי המורכב מטפטפת, מתקין DLL, מעמיסים, מתזמר ודלת אחורית, כאשר השניים האחרונים מגיעים עם סטים משלהם של תוספים נוספים הניתנים להחלפה.

שם המשחק הוא גניבת מידע, בין אם זה נתונים על המערכת או הרשת, קבצים וספריות, אישורים, הקשות, תפיסות מסך, אודיו, צ'אטים ורשימות אנשי קשר מאפליקציות הודעות פופולריות - WeChat, Telegram, Skype, Tencent QQ, וכו' - ועוד.

בין שאר הכישרונות, NSPX30 יכול להקים מעטפת הפוכה, להוסיף את עצמו לרשימות ההיתרים בכלי אנטי-וירוס סיניים, וליירט תעבורת רשת. יכולת אחרונה זו מאפשרת ל-Blackwood להסתיר ביעילות את תשתית הפיקוד והשליטה שלה, מה שאולי תרם לטווח הארוך שלה ללא זיהוי.

דלת אחורית מוסתרת בעדכוני תוכנה

עם זאת, הטריק הגדול מכולם של בלקווד משמש גם כמסתורין הגדול ביותר שלו.

כדי להדביק מכונות עם NSPX30, הוא לא משתמש באף אחד מהטריקים האופייניים: פישינג, דפי אינטרנט נגועים וכו'. במקום זאת, כאשר תוכניות מסוימות לגיטימיות לחלוטין מנסות להוריד עדכונים משרתים ארגוניים לגיטימיים באותה מידה באמצעות HTTP לא מוצפן, בלקווד איכשהו גם מזריק את הדלת האחורית שלו. לתוך התערובת.

במילים אחרות, זו לא הפרת שרשרת אספקה ​​בסגנון SolarWinds של ספק. במקום זאת, ESET משערת כי ייתכן שבלקווד משתמש בשתלים ברשת. שתלים כאלה עשויים להיות מאוחסנים במכשירי קצה פגיעים ברשתות ממוקדות, כפי שהם נפוץ בקרב APTs סיניים אחרים.

מוצרי התוכנה המשמשים להפצת NSPX30 כוללים את WPS Office (חלופה חינמית פופולרית לחבילת התוכנות המשרדיות של מיקרוסופט וגוגל), שירות ההודעות המיידיות QQ (שפותח על ידי ענקית המולטימדיה Tencent), ועורך שיטת הקלט Sogou Pinyin (השוק של סין- כלי פיניין מוביל עם מאות מיליוני משתמשים).

אז איך ארגונים יכולים להתגונן מפני האיום הזה? ודא שכלי ההגנה על נקודות הקצה שלך חוסם את NSPX30, ושם לב לזיהוי תוכנות זדוניות הקשורות למערכות תוכנה לגיטימיות, מייעץ Mathieu Tartare, חוקר תוכנות זדוניות בכיר ב-ESET. "כמו כן, לנטר ולחסום כראוי התקפות AitM כגון הרעלת ARP - למתגים מודרניים יש תכונות שנועדו למתן התקפה כזו", הוא אומר. השבתת IPv6 יכולה לעזור לסכל מתקפת IPv6 SLAAC, הוא מוסיף.

"רשת מפולחת היטב תעזור גם כן, מכיוון שה-AitM ישפיע רק על רשת המשנה שבה היא מבוצעת", אומר Tartare.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/application-security/chinese-apt-hides-backdoor-in-software-updates