Sinds 2018 maakt een voorheen onbekende Chinese dreigingsacteur gebruik van een nieuwe achterdeur bij cyberspionageaanvallen van tegenstanders in het midden (AitM) tegen Chinese en Japanse doelen.
Specifieke slachtoffers van de groep die ESET “Blackwood” heeft genoemd omvatten een groot Chinees productie- en handelsbedrijf, het Chinese kantoor van een Japans ingenieurs- en productiebedrijf, individuen in China en Japan, en een Chineessprekende persoon verbonden aan een vooraanstaande onderzoeksuniversiteit in het Verenigd Koninkrijk.
Dat Blackwood nu pas uit de kast komt, meer dan een half decennium sinds de vroegst bekende activiteit ervan, kan voornamelijk aan twee dingen worden toegeschreven: zijn vermogen om moeiteloos malware verbergen in updates voor populaire softwareproducten zoals WPS Office, en de malware zelf, een zeer geavanceerde spionagetool genaamd “NSPX30.”
Blackwood en NSPX30
De verfijning van NSPX30 kan intussen worden toegeschreven aan bijna twee decennia van onderzoek en ontwikkeling.
Volgens ESET-analisten vloeit NSPX30 voort uit een lange reeks achterdeurtjes die teruggaan tot wat ze postuum “Project Wood” hebben genoemd, schijnbaar voor het eerst samengesteld op 9 januari 2005.
Van Project Wood – dat op verschillende punten werd gebruikt om een politicus uit Hongkong aan te vallen, en vervolgens doelwitten in Taiwan, Hong Kong en Zuidoost-China – kwamen nog meer varianten, waaronder de DCM uit 2008 (ook bekend als ‘Dark Spectre’), die in 2018 overleefde. kwaadaardige campagnes tot XNUMX.
NSPX30, dat datzelfde jaar werd ontwikkeld, is het hoogtepunt van alle cyberspionage die eraan voorafging.
De meertraps, multifunctionele tool bestaat uit een dropper, een DLL-installatieprogramma, laders, orkestrator en backdoor, waarbij de laatste twee worden geleverd met hun eigen sets extra, verwisselbare plug-ins.
De naam van het spel is informatiediefstal, of het nu gaat om gegevens over het systeem of netwerk, bestanden en mappen, inloggegevens, toetsaanslagen, schermafbeeldingen, audio, chats en contactlijsten van populaire berichtenapps – WeChat, Telegram, Skype, Tencent QQ, enz. – en meer.
NSPX30 kan onder meer een reverse shell opzetten, zichzelf toevoegen aan de toelatingslijsten van Chinese antivirusprogramma's en netwerkverkeer onderscheppen. Deze laatste mogelijkheid stelt Blackwood in staat zijn commando- en controle-infrastructuur effectief te verbergen, wat mogelijk heeft bijgedragen aan de lange termijn zonder detectie.
Een achterdeur verborgen in software-updates
Blackwoods grootste truc van allemaal is echter ook het grootste mysterie.
Om machines met NSPX30 te infecteren, gebruikt het geen enkele van de typische trucs: phishing, geïnfecteerde webpagina's, enz. In plaats daarvan, wanneer bepaalde volkomen legitieme programma's updates proberen te downloaden van even legitieme bedrijfsservers via niet-gecodeerde HTTP, injecteert Blackwood op de een of andere manier ook zijn achterdeur in de mix.
Met andere woorden: dit is geen inbreuk op de supply chain van een leverancier in SolarWinds-stijl. In plaats daarvan speculeert ESET dat Blackwood mogelijk netwerkimplantaten gebruikt. Dergelijke implantaten kunnen bijvoorbeeld worden opgeslagen in kwetsbare randapparaten in gerichte netwerken gebruikelijk bij andere Chinese APT's.
De softwareproducten die worden gebruikt om NSPX30 te verspreiden zijn onder meer WPS Office (een populair gratis alternatief voor de kantoorsoftwaresuite van Microsoft en Google), de QQ instant messaging-service (ontwikkeld door multimediagigant Tencent) en de Sogou Pinyin-invoermethode-editor (de Chinese markt- toonaangevende pinyin-tool met honderden miljoenen gebruikers).
Hoe kunnen organisaties zich verdedigen tegen deze dreiging? Zorg ervoor dat uw eindpuntbeveiligingstool NSPX30 blokkeert en let op malwaredetecties gerelateerd aan legitieme softwaresystemen, adviseert Mathieu Tartare, senior malwareonderzoeker bij ESET. “Bewaak en blokkeer ook AitM-aanvallen zoals ARP-vergiftiging op de juiste manier; moderne switches hebben functies die zijn ontworpen om dergelijke aanvallen te verzachten”, zegt hij. Het uitschakelen van IPv6 kan een IPv6 SLAAC-aanval helpen dwarsbomen, voegt hij eraan toe.
“Een goed gesegmenteerd netwerk zal ook helpen, omdat de AitM alleen invloed heeft op het subnet waar het wordt uitgevoerd”, zegt Tartare.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/application-security/chinese-apt-hides-backdoor-in-software-updates
- : heeft
- :is
- :waar
- 2005
- 2008
- 2018
- 7
- 9
- a
- vermogen
- Over
- activiteit
- toevoegen
- Extra
- Voegt
- invloed hebben op
- tegen
- aka
- Alles
- toestaat
- ook
- alternatief
- onder
- an
- analisten
- en
- antivirus
- elke
- apps
- APT
- AS
- At
- aanvallen
- Aanvallen
- poging
- aandacht
- audio
- terug
- achterdeur
- Backdoors
- BE
- geweest
- vaardigheden
- wezen
- Blok
- Blokken
- overtreding
- by
- Dit betekent dat we onszelf en onze geliefden praktisch vergiftigen.
- kwam
- Campagnes
- CAN
- bekwaamheid
- zeker
- keten
- China
- Chinese
- komst
- afstand
- gecompileerd
- bestaat uit
- verbergen
- gekoppeld blijven
- contact
- bijgedragen
- Bedrijfs-
- Geloofsbrieven
- cyber
- Donker
- gegevens
- dating
- DCM
- decennium
- decennia
- ontworpen
- Opsporing
- ontwikkelde
- Ontwikkeling
- systemen
- directories
- doesn
- Doubles
- Download
- vroegste
- ed
- rand
- editor
- effectief
- moeiteloos
- Endpoint
- Engineering
- verzekeren
- even
- spionage
- oprichten
- etc
- Voordelen
- Bestanden
- Voornaam*
- volgt
- Voor
- Gratis
- oppompen van
- verder
- spel
- reus
- Kopen Google Reviews
- beste
- Groep
- Helft
- Hebben
- he
- hulp
- verborgen
- spraakmakend
- zeer
- Hong
- Hong Kong
- Hoe
- http
- HTTPS
- Honderden
- honderdmiljoenen
- ID
- in
- omvatten
- Inclusief
- individuen
- informatie
- Infrastructuur
- invoer
- moment
- verkrijgen in plaats daarvan
- in
- isn
- IT
- HAAR
- zelf
- jan
- Japan
- Japanse
- jpg
- bekend
- Kong
- Groot
- rechtmatig
- als
- afstamming
- lijsten
- lang
- Machines
- kwaadaardig
- malware
- productie
- markt leidend
- Mei..
- Ondertussen
- messaging
- methode
- Microsoft
- macht
- miljoenen
- Verzachten
- mengen
- Modern
- monitor
- meer
- Multimedia
- Mysterie
- naam
- Genoemd
- bijna
- netwerk
- netwerk verkeer
- netwerken
- onlangs
- roman
- nu
- of
- Kantoor
- on
- Slechts
- or
- organisaties
- Overige
- het te bezitten.
- Betaal
- volmaakt
- uitgevoerd
- persoon
- Phishing
- Plato
- Plato gegevensintelligentie
- PlatoData
- punten
- politicus
- Populair
- die eerder
- in de eerste plaats
- Producten
- Programma's
- project
- naar behoren
- bescherming
- verwant
- onderzoek
- onderzoek en ontwikkeling
- onderzoeker
- omkeren
- lopen
- s
- dezelfde
- zegt
- schijnbaar
- senior
- Servers
- service
- Sets
- Shell
- sinds
- Skype
- Software
- hoe dan ook
- geraffineerd
- verfijning
- zuidoosten
- spook
- verspreiden
- opgeslagen
- subnet
- dergelijk
- suite
- leveren
- toeleveringsketen
- Overleefd
- system
- Systems
- Taiwan
- talenten
- doelwit
- doelgerichte
- doelen
- Telegram
- Tencent
- neem contact
- dat
- De
- Brittannië
- diefstal
- hun
- harte
- ze
- spullen
- dit
- toch?
- bedreiging
- dwarsbomen
- naar
- tools
- tools
- Handel
- verkeer
- twee
- typisch
- Uk
- universiteit-
- onbekend
- tot
- updates
- .
- gebruikt
- gebruikers
- gebruik
- divers
- Ve
- verkoper
- via
- slachtoffers
- Kwetsbaar
- was
- GOED
- Wat
- wanneer
- of
- welke
- geheel
- wil
- Met
- zonder
- hout
- woorden
- jaar
- Your
- zephyrnet
