Onderzoekers hebben een populair open source-pakket geïdentificeerd dat mogelijk industriële spionage-malware verbergt.
"SqzrFramework480" is een .NET dynamische linkbibliotheek (DLL) die betrekking lijkt te hebben op Bozhon Precision Industry Technology Co., een Chinese fabrikant van consumentenelektronica en verschillende industriële technologieën. De aangegeven functies van het bestand omvatten het beheren en creëren van grafische gebruikersinterfaces (GUI's), het initialiseren en configureren van machine vision-bibliotheken, het aanpassen van robotbewegingsinstellingen en meer. Het werd op 24 januari geüpload naar de open source-repository van NuGet en heeft op het moment van schrijven al 3,000 downloads.
Het kan uiteindelijk niet meer zijn dan wat het zegt dat het is. Maar onderzoekers van ReversingLabs hebben SqzrFramework480 in een nieuw rapport als verdacht aangemerkt, dankzij een methode die erin verborgen zit en nogal kwaadaardige dingen lijkt te doen: schermafbeeldingen maken, een socket openen en gegevens naar een verborgen IP-adres exfiltreren.
Is SqzrFramework480 een OT-achterdeur?
Software ontwikkeld door Chinese bedrijven is dat wel gebruikt bij kwaadaardige aanvallen op de toeleveringsketen voor, en cyberbedreigingen voor industriële systemen zijn daar niet nieuw.
Is SqzrFramework480 een voortzetting van deze trends? Het antwoord ligt in de methode ‘Init’.
De taak van Init begint met het pingen van een extern IP-adres. Dit IP-adres wordt opgeslagen als een byte-array, waarbij elke byte een ASCII-gecodeerd teken is.
Als de ping niet succesvol is, gaat het programma in de slaapstand en probeert het 30 seconden later opnieuw. Als het lukt, opent het een socket en maakt verbinding met dat IP-adres. Vervolgens wordt er een screenshot gemaakt van de monitor waarop het is geïnstalleerd, verpakt in een byte-array en verzonden door de socket.
Aan de ene kant, zo stelden de onderzoekers, zou dit eenvoudigweg een mechanisme kunnen zijn voor het streamen van beelden van een Bozhon-camera naar een werkstation. Maar bepaalde contextuele bewijzen vertroebelen die theorie.
Om te beginnen hebben de namen en klassen binnen SqzrFramework480 nogal onopvallende labels; nergens zou je bijvoorbeeld kunnen concluderen dat het schermafbeeldingen maakt. En waarom is het IP-adres dat het pingt verborgen als een byte? “Dat is een soort verdachte of ongebruikelijke praktijk”, merkt Petar Kirhmajer, de auteur van het rapport, op. "Waarom zou je het IP-adres niet gewoon [in leesbare tekst] opnemen?"
Naast de moeite die is gedaan om Init onduidelijk te maken, is er ook het feit dat het pakket werd vermeld door een onopvallend NuGet-account waarvan de enige eerdere vermelding "SqzrFramework480.Faker" was, een verduisterde versie van SqzrFramework480.
In plaats van welk rokend wapen dan ook, blijft SqzrFramework480 live en beschikbaar om te downloaden.
“Mijn suggestie zou zijn om niet elk pakket blindelings te vertrouwen”, zegt Kirhmajer. “Als je kunt, moet je ze zelf [handmatig] controleren. En als je niet over de middelen beschikt om het zelf te doen, moet je tools gebruiken om die pakketten automatisch te scannen.”
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/ics-ot-security/dubious-nuget-package-chinese-industrial-espionage
- : heeft
- :is
- :niet
- :waar
- $UP
- 000
- 24
- 30
- 7
- a
- Account
- adres
- het aanpassen van
- weer
- al
- ook
- an
- en
- beantwoorden
- elke
- komt naar voren
- ZIJN
- reeks
- AS
- controleren
- auteur
- webmaster.
- Beschikbaar
- achterdeur
- BE
- geweest
- vaardigheden
- begint
- blindelings
- maar
- by
- camera
- CAN
- captures
- Het vastleggen
- zeker
- keten
- karakter
- Chinese
- klassen
- CO
- Bedrijven
- configureren
- verbindt
- consument
- contextual
- voortzetting
- kon
- Wij creëren
- gegevens
- ontwikkelde
- do
- doet
- don
- Download
- downloads
- dynamisch
- elk
- Elektronica
- einde
- spionage
- Alle
- bewijzen
- voorbeeld
- feit
- Dien in
- markeerde
- Voor
- oppompen van
- functies
- Goes
- weg
- hand
- Hebben
- verbergen
- HTTPS
- geïdentificeerd
- if
- afbeeldingen
- in
- omvatten
- industrieel
- -industrie
- binnen
- geïnstalleerd
- interfaces
- in
- IP
- IP-adres
- isn
- IT
- HAAR
- jan
- Jobomschrijving:
- jpeg
- voor slechts
- Soort
- labels
- later
- bibliotheken
- Bibliotheek
- ligt
- plaats
- LINK
- opgesomd
- vermelding
- leven
- machine
- kwaadaardig
- malware
- beheren
- handmatig
- Fabrikant
- Mei..
- mechanisme
- methode
- monitor
- meer
- beweging
- my
- namen
- netto
- New
- geen
- Opmerkingen
- nergens
- verduisterd
- of
- on
- EEN
- Slechts
- open
- open source
- opening
- opent
- or
- ot
- pakket
- Paketten
- ping
- Plato
- Plato gegevensintelligentie
- PlatoData
- Populair
- praktijk
- precisie
- Voorafgaand
- Programma
- liever
- stoffelijk overschot
- vanop
- verslag
- bewaarplaats
- onderzoekers
- Resources
- s
- zegt
- aftasten
- screenshots
- seconden
- lijkt
- verzendt
- settings
- moet
- eenvoudigweg
- slaap
- bron
- bepaald
- opgeslagen
- streaming
- slagen
- geslaagd
- leveren
- toeleveringsketen
- verdacht
- neemt
- Technologies
- Technologie
- Neiging
- neem contact
- Bedankt
- dat
- De
- Ze
- harte
- theorie
- Er.
- Deze
- ding
- spullen
- dit
- die
- bedreigingen
- Door
- naar
- tools
- Trends
- Trust
- Uncommon
- geüpload
- .
- Gebruiker
- divers
- versie
- visie
- was
- Wat
- waarvan
- Waarom
- binnen
- werkstation
- zou
- zou niet
- het schrijven van
- You
- jezelf
- zephyrnet