Siden 2018 har en tidligere ukjent kinesisk trusselskuespiller brukt en ny bakdør i motstander-i-midten (AitM) cyberspionasjeangrep mot kinesiske og japanske mål.
Spesifikke ofre for gruppen som ESET har kalt "Blackwood" inkludere et stort kinesisk produksjons- og handelsselskap, det kinesiske kontoret til et japansk ingeniør- og produksjonsselskap, enkeltpersoner i Kina og Japan, og en kinesisktalende person knyttet til et høyprofilert forskningsuniversitet i Storbritannia.
At Blackwood først blir satt ut nå, mer enn et halvt tiår siden den tidligste kjente aktiviteten, kan først og fremst tilskrives to ting: dens evne til uanstrengt skjule skadelig programvare i oppdateringer for populære programvareprodukter som WPS Office, og selve skadevaren, et svært sofistikert spionasjeverktøy kalt "NSPX30."
Blackwood og NSPX30
Sofistikeringen til NSPX30 kan i mellomtiden tilskrives nesten to hele tiår med forskning og utvikling.
I følge ESET-analytikere følger NSPX30 fra en lang rekke bakdører som dateres tilbake til det de postuum har kalt «Project Wood», som tilsynelatende først ble samlet tilbake 9. januar 2005.
Fra Project Wood - som på forskjellige punkter ble brukt til å målrette en Hong Kong-politiker, og deretter mål i Taiwan, Hong Kong og sørøst-Kina - kom ytterligere varianter, inkludert 2008s DCM (aka "Dark Spectre"), som overlevde i ondsinnede kampanjer frem til 2018.
NSPX30, utviklet samme år, er høydepunktet for all cyberspionasje som kom før den.
Det flertrinnsvise, multifunksjonelle verktøyet består av en dropper, et DLL-installasjonsprogram, lastere, orkestrator og bakdør, med de to sistnevnte med sine egne sett med ekstra, utskiftbare plug-ins.
Navnet på spillet er informasjonstyveri, enten det er data om systemet eller nettverket, filer og kataloger, legitimasjon, tastetrykk, skjermbilder, lyd, chatter og kontaktlister fra populære meldingsapper — WeChat, Telegram, Skype, Tencent QQ, etc. - og mer.
Blant andre talenter kan NSPX30 etablere et omvendt skall, legge seg til godkjenningslister i kinesiske antivirusverktøy og avskjære nettverkstrafikk. Denne sistnevnte evnen gjør at Blackwood effektivt kan skjule sin kommando-og-kontroll-infrastruktur, noe som kan ha bidratt til dens lange løp uten oppdagelse.
En bakdør skjult i programvareoppdateringer
Blackwoods største triks av alle fungerer imidlertid også som det største mysteriet.
For å infisere maskiner med NSPX30, bruker den ikke noen av de typiske triksene: phishing, infiserte nettsider osv. I stedet, når visse helt legitime programmer prøver å laste ned oppdateringer fra like legitime bedriftsservere via ukryptert HTTP, injiserer Blackwood på en eller annen måte også bakdøren. inn i blandingen.
Med andre ord, dette er ikke et leverandørkjedebrudd i SolarWinds-stil. I stedet spekulerer ESET i at Blackwood kan bruke nettverksimplantater. Slike implantater kan lagres i sårbare kantenheter i målrettede nettverk, som de er vanlig blant andre kinesiske APT-er.
Programvareproduktene som brukes til å spre NSPX30 inkluderer WPS Office (et populært gratis alternativ til Microsoft og Googles pakke med kontorprogramvare), QQ-direktemeldingstjenesten (utviklet av multimediegiganten Tencent), og Sogou Pinyin-inndatametoderedigereren (Kinas marked- ledende pinyin-verktøy med hundrevis av millioner brukere).
Så hvordan kan organisasjoner forsvare seg mot denne trusselen? Forsikre deg om at verktøyet for endepunktbeskyttelse blokkerer NSPX30, og vær oppmerksom på deteksjon av skadelig programvare relatert til legitime programvaresystemer, råder Mathieu Tartare, seniorforsker av skadelig programvare ved ESET. "Også, overvåk og blokker AitM-angrep som ARP-forgiftning på riktig måte - moderne brytere har funksjoner designet for å dempe slike angrep," sier han. Deaktivering av IPv6 kan bidra til å hindre et IPv6 SLAAC-angrep, legger han til.
"Et godt segmentert nettverk vil også hjelpe, siden AitM vil påvirke bare undernettet der det utføres," sier Tartare.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/application-security/chinese-apt-hides-backdoor-in-software-updates
- : har
- :er
- :hvor
- 2005
- 2008
- 2018
- 7
- 9
- a
- evne
- Om oss
- aktivitet
- legge til
- Ytterligere
- Legger
- påvirke
- mot
- aka
- Alle
- tillater
- også
- alternativ
- blant
- an
- analytikere
- og
- antivirus
- noen
- apps
- APT
- AS
- At
- angripe
- Angrep
- forsøk
- oppmerksomhet
- lyd
- tilbake
- backdoor
- Bakdører
- BE
- vært
- før du
- være
- Blokker
- Blocks
- brudd
- by
- som heter
- kom
- Kampanjer
- CAN
- evne
- viss
- kjede
- Kina
- Kinesisk
- kommer
- Selskapet
- kompilert
- Omfattet
- skjule
- tilkoblet
- kontakt
- bidratt
- Bedriftens
- Credentials
- cyber
- mørk
- dato
- Dating
- DCM
- tiår
- tiår
- designet
- Gjenkjenning
- utviklet
- Utvikling
- Enheter
- kataloger
- doesn
- Dobler
- nedlasting
- tidligste
- ed
- Edge
- redaktør
- effektivt
- uanstrengt
- Endpoint
- Ingeniørarbeid
- sikre
- like
- spionasje
- etablere
- etc
- Egenskaper
- Filer
- Først
- følger
- Til
- Gratis
- fra
- videre
- spill
- giganten
- størst
- Gruppe
- Halvparten
- Ha
- he
- hjelpe
- skjult
- høy profil
- svært
- Hong
- Hong Kong
- Hvordan
- http
- HTTPS
- Hundrevis
- hundrevis av millioner
- ID
- in
- inkludere
- Inkludert
- individer
- informasjon
- Infrastruktur
- inngang
- instant
- i stedet
- inn
- er n
- IT
- DET ER
- selv
- jan
- Japan
- Japansk
- jpg
- kjent
- Kong
- stor
- legitim
- i likhet med
- avstamning
- lister
- Lang
- maskiner
- skadelig
- malware
- produksjon
- markedsledende
- Kan..
- Mellomtiden
- meldinger
- metode
- Microsoft
- kunne
- millioner
- Minske
- bland
- Moderne
- Overvåke
- mer
- multimedia
- Mystery
- navn
- oppkalt
- nesten
- nettverk
- nettverkstrafikk
- nettverk
- nylig
- roman
- nå
- of
- Office
- on
- bare
- or
- organisasjoner
- Annen
- egen
- Betale
- perfekt
- utført
- person
- phishing
- plato
- Platon Data Intelligence
- PlatonData
- poeng
- politiker
- Populær
- tidligere
- primært
- Produkter
- programmer
- prosjekt
- riktig
- beskyttelse
- i slekt
- forskning
- forskning og utvikling
- forsker
- reversere
- Kjør
- s
- samme
- sier
- tilsynelatende
- senior
- Servere
- tjeneste
- sett
- Shell
- siden
- Skype
- Software
- en eller annen måte
- sofistikert
- raffinement
- sørøst
- spekter
- spre
- lagret
- subnett
- slik
- suite
- levere
- forsyningskjeden
- Overlevde
- system
- Systemer
- Taiwan
- talenter
- Target
- målrettet
- mål
- Telegram
- Tencent
- enn
- Det
- De
- Storbritannia
- tyveri
- deres
- deretter
- de
- ting
- denne
- selv om?
- trussel
- hindre
- til
- verktøy
- verktøy
- trading
- trafikk
- to
- typisk
- Uk
- universitet
- ukjent
- til
- oppdateringer
- bruke
- brukt
- Brukere
- ved hjelp av
- ulike
- Ve
- leverandør
- av
- ofre
- Sårbar
- var
- VI VIL
- Hva
- når
- om
- hvilken
- hele
- vil
- med
- uten
- tre
- ord
- år
- Din
- zephyrnet
