Nowo zidentyfikowany chiński APT ukrywa backdoora w aktualizacjach oprogramowania

Od 2018 r. nieznany wcześniej chiński ugrupowanie zagrażające wykorzystuje nowatorskie backdoory w atakach cyberszpiegowskich typu adversary-in-the-middle (AitM) na cele w Chinach i Japonii.

Konkretne ofiary grupa, którą ESET nazwał „Blackwood” obejmują dużą chińską firmę produkcyjno-handlową, chińskie biuro japońskiej firmy inżynieryjnej i produkcyjnej, osoby fizyczne w Chinach i Japonii oraz osobę chińskojęzyczną powiązaną z renomowanym uniwersytetem badawczym w Wielkiej Brytanii.

To, że Blackwood zostało ujawnione dopiero teraz, ponad pół dekady od jego najwcześniejszej znanej działalności, można przypisać przede wszystkim dwóm czynnikom: jego zdolności do łatwego ukrywaj złośliwe oprogramowanie w aktualizacjach popularnych programów jak WPS Office i samo szkodliwe oprogramowanie, wysoce wyrafinowane narzędzie szpiegowskie o nazwie „NSPX30”.

Blackwooda i NSPX30

Tymczasem wyrafinowanie NSPX30 można przypisać prawie dwudziestom lat badań i rozwoju.

Według analityków firmy ESET NSPX30 wywodzi się z długiej linii backdoorów, której początki sięgają tego, co pośmiertnie nazwali „Project Wood”, a które najwyraźniej skompilowano po raz pierwszy 9 stycznia 2005 roku.

Z Projektu Wood – który w różnych momentach był wykorzystywany do obrania za cel polityka z Hongkongu, a następnie do celów na Tajwanie, w Hongkongu i południowo-wschodnich Chinach – pojawiły się dalsze warianty, w tym DCM z 2008 r. (znany również jako „Dark Spectre”), który przetrwał w złośliwych kampanii do 2018 r.

NSPX30, opracowany w tym samym roku, jest apogeum wszystkich wcześniejszych cyberszpiegów.

Wieloetapowe, wielofunkcyjne narzędzie składające się z droppera, instalatora DLL, programów ładujących, orkiestratora i backdoora, przy czym dwa ostatnie zawierają własne zestawy dodatkowych, wymiennych wtyczek.

Gra polega na kradzieży informacji, niezależnie od tego, czy są to dane o systemie lub sieci, pliki i katalogi, dane uwierzytelniające, naciśnięcia klawiszy, zrzuty ekranu, dźwięk, czaty i listy kontaktów z popularnych aplikacji do przesyłania wiadomości — WeChat, Telegram, Skype, Tencent QQ, itd. — i nie tylko.

Wśród innych talentów NSPX30 może ustanowić odwrotną powłokę, dodać się do list dozwolonych w chińskich narzędziach antywirusowych i przechwytywać ruch sieciowy. Ta ostatnia zdolność pozwala firmie Blackwood skutecznie ukrywać swoją infrastrukturę dowodzenia i kontroli, co mogło przyczynić się do tego, że na dłuższą metę pozostawał bez wykrycia.

Backdoor ukryty w aktualizacjach oprogramowania

Jednak największa ze wszystkich sztuczka Blackwooda jest jednocześnie największą tajemnicą.

Aby infekować maszyny za pomocą protokołu NSPX30, nie stosuje on żadnych typowych sztuczek: phishingu, zainfekowanych stron internetowych itp. Zamiast tego, gdy pewne całkowicie legalne programy próbują pobrać aktualizacje z równie legalnych serwerów korporacyjnych za pośrednictwem niezaszyfrowanego protokołu HTTP, Blackwood w jakiś sposób wprowadza również swoje backdoory do mieszanki.

Innymi słowy, nie jest to naruszenie łańcucha dostaw w stylu SolarWinds ze strony dostawcy. Zamiast tego ESET spekuluje, że Blackwood może używać implantów sieciowych. Takie implanty mogą być przechowywane na wrażliwych urządzeniach brzegowych w docelowych sieciach powszechne wśród innych chińskich APT.

Oprogramowanie wykorzystywane do rozpowszechniania NSPX30 obejmuje WPS Office (popularną bezpłatną alternatywę dla pakietu oprogramowania biurowego Microsoftu i Google), usługę przesyłania wiadomości błyskawicznych QQ (opracowaną przez multimedialnego giganta Tencent) oraz edytor metod wprowadzania Sogou Pinyin (rynek chiński wiodące narzędzie pinyin z setkami milionów użytkowników).

Jak zatem organizacje mogą bronić się przed tym zagrożeniem? Upewnij się, że Twoje narzędzie do ochrony punktów końcowych blokuje NSPX30 i zwracaj uwagę na wykrycie złośliwego oprogramowania powiązane z legalnymi systemami oprogramowania, radzi Mathieu Tartare, starszy badacz złośliwego oprogramowania w firmie ESET. „Należy także odpowiednio monitorować i blokować ataki AitM, takie jak zatrucie ARP — nowoczesne przełączniki mają funkcje zaprojektowane w celu łagodzenia takich ataków” – mówi. Wyłączenie protokołu IPv6 może pomóc udaremnić atak SLAAC IPv6 – dodaje.

„Dobrze podzielona sieć również będzie pomocna, ponieważ AitM będzie mieć wpływ tylko na podsieć, w której jest wykonywany” – mówi Tartare.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/application-security/chinese-apt-hides-backdoor-in-software-updates