새로 식별된 중국 APT, 소프트웨어 업데이트에 백도어 숨기기

2018년부터 이전에 알려지지 않은 중국의 위협 행위자는 중국과 일본의 목표물을 대상으로 하는 AitM(중간자) 사이버 간첩 공격에 새로운 백도어를 사용해 왔습니다.

구체적인 피해자 ESET이 "Blackwood"라고 명명한 그룹 여기에는 중국의 대규모 제조 및 무역 회사, 일본의 엔지니어링 및 제조 회사의 중국 사무소, 중국과 일본의 개인, 영국의 유명 연구 대학과 연결된 중국어 사용자가 포함됩니다.

Blackwood가 가장 먼저 활동한 지 5년이 지난 지금에야 아웃소싱되고 있는 것은 주로 두 가지에 기인할 수 있습니다. 인기 있는 소프트웨어 제품의 업데이트에 악성 코드를 숨깁니다. WPS Office와 맬웨어 자체, "NSPX30"이라는 매우 정교한 스파이 도구입니다.

블랙우드와 NSPX30

한편, NSPX30의 정교함은 거의 XNUMX년 동안의 연구 및 개발 덕분이라고 할 수 있습니다.

ESET 분석가에 따르면 NSPX30은 9년 2005월 XNUMX일에 처음 편집된 것으로 보이는 사후에 "Project Wood"라고 명명된 백도어의 오랜 계보를 이어받은 것입니다.

다양한 지점에서 홍콩 정치인을 표적으로 삼은 다음 대만, 홍콩, 중국 남동부를 표적으로 삼는 데 사용된 Project Wood에서 2008년 DCM(일명 "Dark Specter")을 포함한 추가 변종이 나왔습니다. 2018년까지 악성 캠페인.

같은 해에 개발된 NSPX30은 이전에 있었던 모든 사이버 스파이 활동의 ​​정점입니다.

드로퍼, DLL 설치 프로그램, 로더, 오케스트레이터 및 백도어로 구성된 다단계 다기능 도구이며, 백도어 두 개에는 교체 가능한 자체 추가 플러그인 세트가 함께 제공됩니다.

게임의 이름은 시스템이나 네트워크, 파일 및 디렉터리, 자격 증명, 키 입력, 화면 캡처, 오디오, 채팅, 인기 메시징 앱(WeChat, Telegram, Skype, Tencent QQ, 등등 – 그리고 더 많은 것.

다른 기능 중에서 NSPX30은 리버스 셸을 설정하고, 중국 바이러스 백신 도구의 허용 목록에 자신을 추가하고, 네트워크 트래픽을 가로챌 수 있습니다. 후자의 기능을 통해 Blackwood는 탐지 없이 장기적으로 운영하는 데 기여했을 수 있는 명령 및 제어 인프라를 효과적으로 숨길 수 있습니다.

소프트웨어 업데이트에 숨겨진 백도어

그러나 Blackwood의 가장 큰 트릭은 가장 큰 미스터리이기도 합니다.

NSPX30으로 시스템을 감염시키기 위해 피싱, 감염된 웹페이지 등 일반적인 트릭을 사용하지 않습니다. 대신, 완벽하게 합법적인 특정 프로그램이 암호화되지 않은 HTTP를 통해 똑같이 합법적인 기업 서버에서 업데이트를 다운로드하려고 시도하면 Blackwood는 어떻게든 백도어를 주입합니다. 믹스에.

즉, 이는 공급업체에 대한 SolarWinds 스타일의 공급망 위반이 아닙니다. 대신 ESET은 Blackwood가 네트워크 임플란트를 사용할 수 있다고 추측합니다. 이러한 임플란트는 대상 네트워크의 취약한 에지 장치에 저장될 수 있습니다. 다른 중국 APT들 사이에서 흔히 볼 수 있는.

NSPX30을 확산시키는 데 사용되는 소프트웨어 제품에는 WPS Office(Microsoft 및 Google의 사무용 소프트웨어 제품군에 대한 인기 있는 무료 대안), QQ 인스턴트 메시징 서비스(멀티미디어 대기업 Tencent가 개발), Sogou Pinyin 입력 방식 편집기(중국 시장--)가 포함됩니다. 수억 명의 사용자를 보유한 최고의 병음 도구).

그렇다면 조직은 어떻게 이러한 위협으로부터 방어할 수 있을까요? ESET의 수석 악성코드 연구원인 Mathieu Tartare는 엔드포인트 보호 도구가 NSPX30을 차단하는지 확인하고 합법적인 소프트웨어 시스템과 관련된 악성코드 탐지에 주의를 기울이라고 조언합니다. "또한 ARP 중독과 같은 AitM 공격을 적절하게 모니터링하고 차단합니다. 최신 스위치에는 이러한 공격을 완화하도록 설계된 기능이 있습니다."라고 그는 말합니다. 그는 IPv6를 비활성화하면 IPv6 SLAAC 공격을 막는 데 도움이 될 수 있다고 덧붙였습니다.

Tartare는 “잘 분할된 네트워크도 도움이 될 것입니다. AitM은 수행되는 서브넷에만 영향을 미치기 때문입니다.”라고 Tartare는 말합니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/application-security/chinese-apt-hides-backdoor-in-software-updates