Badacze zidentyfikowali popularny pakiet open source, który może ukrywać złośliwe oprogramowanie szpiegostwa przemysłowego.
„SqzrFramework480” to biblioteka dołączana dynamicznie .NET (DLL), która prawdopodobnie dotyczy firmy Bozhon Precision Industry Technology Co., chińskiego producenta elektroniki użytkowej i różnych technologii przemysłowych. Podane funkcje pliku obejmują zarządzanie i tworzenie graficznych interfejsów użytkownika (GUI), inicjowanie i konfigurowanie bibliotek systemów wizyjnych, dostosowywanie ustawień ruchu robota i wiele innych. Został przesłany do repozytorium open source NuGet 24 stycznia i w chwili pisania tego tekstu ma już 3,000 pobrań.
Może w ostatecznym rozrachunku nie będzie to nic więcej, niż się twierdzi. Jednak badacze z ReversingLabs w nowym raporcie oznaczyli SqzrFramework480 jako podejrzany ze względu na ukrytą w nim metodę, która wydaje się robić raczej złośliwe rzeczy: przechwytywanie zrzutów ekranu, otwieranie gniazda i wydobywanie danych na ukryty adres IP.
Czy SqzrFramework480 jest backdoorem OT?
Oprogramowanie opracowane przez chińskie firmy zostało wykorzystywane w złośliwych atakach na łańcuch dostaw wcześniej i cyberzagrożenia dla systemów przemysłowych nie są tam nowe.
Czy SqzrFramework480 jest kontynuacją tych trendów? Odpowiedź leży w metodzie „Init”.
Zadanie Inita rozpoczyna się od pingowania zdalnego adresu IP. Ten adres IP jest przechowywany w postaci tablicy bajtów, gdzie każdy bajt jest znakiem zakodowanym w formacie ASCII.
Jeśli polecenie ping nie powiedzie się, program przechodzi w tryb uśpienia i próbuje ponownie 30 sekund później. Jeśli się powiedzie, otwiera gniazdo i łączy się z tym adresem IP. Następnie wykonuje zrzut ekranu monitora, na którym jest zainstalowany, pakuje go w tablicę bajtów i wysyła przez gniazdo.
Z jednej strony badacze zakładali, że może to być po prostu mechanizm przesyłania strumieniowego obrazów z kamery Bozhon do stacji roboczej. Jednak pewne dowody kontekstowe podważają tę teorię.
Po pierwsze, nazwy i klasy w SqzrFramework480 mają raczej nijakie etykiety; nigdzie nie można było na przykład wywnioskować, że przechwytuje zrzuty ekranu. I dlaczego adres IP, który wysyła polecenie ping, jest ukryty w postaci bajtu? „To rodzaj podejrzanej lub rzadkiej praktyki” – zauważa Petar Kirhmajer, autor raportu. „Dlaczego nie umieściłbyś po prostu adresu IP [w postaci zwykłego tekstu]?”
Oprócz wysiłków mających na celu zaciemnienie Inita, istnieje również fakt, że pakiet został wystawiony na niepozornym koncie NuGet, którego jedyną wcześniejszą listą był „SqzrFramework480.Faker”, ukryta wersja SqzrFramework480.
Zamiast jakiejkolwiek dymiącej broni, SqzrFramework480 pozostaje aktywny i dostępny do pobrania.
„Moja sugestia jest taka, aby nie ufać ślepo każdej paczce” – mówi Kirhmajer. „Jeśli możesz, powinieneś przeprowadzić audyt samodzielnie [ręcznie]. A jeśli nie masz zasobów, aby zrobić to samodzielnie, powinieneś użyć narzędzi do automatycznego skanowania tych pakietów.”
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/ics-ot-security/dubious-nuget-package-chinese-industrial-espionage
- :ma
- :Jest
- :nie
- :Gdzie
- $W GÓRĘ
- 000
- 24
- 30
- 7
- a
- Konto
- adres
- dostosowując
- ponownie
- już
- również
- an
- i
- odpowiedź
- każdy
- pojawia się
- SĄ
- Szyk
- AS
- Audyt
- autor
- automatycznie
- dostępny
- tylne drzwi
- BE
- być
- zanim
- zaczyna się
- na oślep
- ale
- by
- aparat fotograficzny
- CAN
- przechwytuje
- Przechwytywanie
- pewien
- łańcuch
- charakter
- chiński
- Klasy
- CO
- Firmy
- konfigurowanie
- łączy
- konsument
- kontekstowy
- kontynuacja
- mógłby
- Tworzenie
- dane
- rozwinięty
- do
- robi
- darowizna
- pobieranie
- pliki do pobrania
- dynamiczny
- każdy
- Elektronika
- zakończenia
- szpiegostwo
- Każdy
- dowód
- przykład
- fakt
- filet
- taflowy
- W razie zamówieenia projektu
- od
- Funkcje
- Goes
- poszedł
- ręka
- Have
- ukrywanie
- HTTPS
- zidentyfikowane
- if
- zdjęcia
- in
- zawierać
- przemysłowy
- przemysł
- wewnątrz
- zainstalowany
- interfejsy
- najnowszych
- IP
- Adres IP
- ISN
- IT
- JEGO
- Styczeń
- Praca
- jpeg
- właśnie
- Uprzejmy
- Etykiety
- później
- biblioteki
- Biblioteka
- leży
- miejsce
- LINK
- Katalogowany
- wymienianie kolejno
- relacja na żywo
- maszyna
- złośliwy
- malware
- zarządzający
- ręcznie
- Producent
- Może..
- mechanizm
- metoda
- monitor
- jeszcze
- ruch
- my
- Nazwy
- netto
- Nowości
- Nie
- Uwagi
- nigdzie
- zaciemnione
- of
- on
- ONE
- tylko
- koncepcja
- open source
- otwarcie
- otwiera
- or
- ot
- pakiet
- Pakiety
- świst
- plato
- Analiza danych Platona
- PlatoDane
- Popularny
- praktyka
- Detaliczność
- Wcześniejszy
- Program
- raczej
- szczątki
- zdalny
- raport
- składnica
- Badacze
- Zasoby
- s
- mówią
- skanować
- screeny
- sekund
- wydaje
- wysyła
- w panelu ustawień
- powinien
- po prostu
- spać
- Źródło
- stwierdził,
- przechowywany
- Streaming
- osiągnąć sukces
- udany
- Dostawa
- łańcuch dostaw
- podejrzliwy
- trwa
- Technologies
- Technologia
- Tendencję
- niż
- Podziękowania
- że
- Połączenia
- Im
- następnie
- teoria
- Tam.
- Te
- rzecz
- rzeczy
- to
- tych
- zagrożenia
- Przez
- do
- narzędzia
- Trendy
- Zaufaj
- Niezwykły
- przesłanych
- posługiwać się
- Użytkownik
- różnorodny
- wersja
- wizja
- była
- Co
- którego
- dlaczego
- w ciągu
- stacja robocza
- by
- nie
- pisanie
- You
- siebie
- zefirnet