Od 2018 r. nieznany wcześniej chiński ugrupowanie zagrażające wykorzystuje nowatorskie backdoory w atakach cyberszpiegowskich typu adversary-in-the-middle (AitM) na cele w Chinach i Japonii.
Konkretne ofiary grupa, którą ESET nazwał „Blackwood” obejmują dużą chińską firmę produkcyjno-handlową, chińskie biuro japońskiej firmy inżynieryjnej i produkcyjnej, osoby fizyczne w Chinach i Japonii oraz osobę chińskojęzyczną powiązaną z renomowanym uniwersytetem badawczym w Wielkiej Brytanii.
To, że Blackwood zostało ujawnione dopiero teraz, ponad pół dekady od jego najwcześniejszej znanej działalności, można przypisać przede wszystkim dwóm czynnikom: jego zdolności do łatwego ukrywaj złośliwe oprogramowanie w aktualizacjach popularnych programów jak WPS Office i samo szkodliwe oprogramowanie, wysoce wyrafinowane narzędzie szpiegowskie o nazwie „NSPX30”.
Blackwooda i NSPX30
Tymczasem wyrafinowanie NSPX30 można przypisać prawie dwudziestom lat badań i rozwoju.
Według analityków firmy ESET NSPX30 wywodzi się z długiej linii backdoorów, której początki sięgają tego, co pośmiertnie nazwali „Project Wood”, a które najwyraźniej skompilowano po raz pierwszy 9 stycznia 2005 roku.
Z Projektu Wood – który w różnych momentach był wykorzystywany do obrania za cel polityka z Hongkongu, a następnie do celów na Tajwanie, w Hongkongu i południowo-wschodnich Chinach – pojawiły się dalsze warianty, w tym DCM z 2008 r. (znany również jako „Dark Spectre”), który przetrwał w złośliwych kampanii do 2018 r.
NSPX30, opracowany w tym samym roku, jest apogeum wszystkich wcześniejszych cyberszpiegów.
Wieloetapowe, wielofunkcyjne narzędzie składające się z droppera, instalatora DLL, programów ładujących, orkiestratora i backdoora, przy czym dwa ostatnie zawierają własne zestawy dodatkowych, wymiennych wtyczek.
Gra polega na kradzieży informacji, niezależnie od tego, czy są to dane o systemie lub sieci, pliki i katalogi, dane uwierzytelniające, naciśnięcia klawiszy, zrzuty ekranu, dźwięk, czaty i listy kontaktów z popularnych aplikacji do przesyłania wiadomości — WeChat, Telegram, Skype, Tencent QQ, itd. — i nie tylko.
Wśród innych talentów NSPX30 może ustanowić odwrotną powłokę, dodać się do list dozwolonych w chińskich narzędziach antywirusowych i przechwytywać ruch sieciowy. Ta ostatnia zdolność pozwala firmie Blackwood skutecznie ukrywać swoją infrastrukturę dowodzenia i kontroli, co mogło przyczynić się do tego, że na dłuższą metę pozostawał bez wykrycia.
Backdoor ukryty w aktualizacjach oprogramowania
Jednak największa ze wszystkich sztuczka Blackwooda jest jednocześnie największą tajemnicą.
Aby infekować maszyny za pomocą protokołu NSPX30, nie stosuje on żadnych typowych sztuczek: phishingu, zainfekowanych stron internetowych itp. Zamiast tego, gdy pewne całkowicie legalne programy próbują pobrać aktualizacje z równie legalnych serwerów korporacyjnych za pośrednictwem niezaszyfrowanego protokołu HTTP, Blackwood w jakiś sposób wprowadza również swoje backdoory do mieszanki.
Innymi słowy, nie jest to naruszenie łańcucha dostaw w stylu SolarWinds ze strony dostawcy. Zamiast tego ESET spekuluje, że Blackwood może używać implantów sieciowych. Takie implanty mogą być przechowywane na wrażliwych urządzeniach brzegowych w docelowych sieciach powszechne wśród innych chińskich APT.
Oprogramowanie wykorzystywane do rozpowszechniania NSPX30 obejmuje WPS Office (popularną bezpłatną alternatywę dla pakietu oprogramowania biurowego Microsoftu i Google), usługę przesyłania wiadomości błyskawicznych QQ (opracowaną przez multimedialnego giganta Tencent) oraz edytor metod wprowadzania Sogou Pinyin (rynek chiński wiodące narzędzie pinyin z setkami milionów użytkowników).
Jak zatem organizacje mogą bronić się przed tym zagrożeniem? Upewnij się, że Twoje narzędzie do ochrony punktów końcowych blokuje NSPX30 i zwracaj uwagę na wykrycie złośliwego oprogramowania powiązane z legalnymi systemami oprogramowania, radzi Mathieu Tartare, starszy badacz złośliwego oprogramowania w firmie ESET. „Należy także odpowiednio monitorować i blokować ataki AitM, takie jak zatrucie ARP — nowoczesne przełączniki mają funkcje zaprojektowane w celu łagodzenia takich ataków” – mówi. Wyłączenie protokołu IPv6 może pomóc udaremnić atak SLAAC IPv6 – dodaje.
„Dobrze podzielona sieć również będzie pomocna, ponieważ AitM będzie mieć wpływ tylko na podsieć, w której jest wykonywany” – mówi Tartare.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/application-security/chinese-apt-hides-backdoor-in-software-updates
- :ma
- :Jest
- :Gdzie
- 2005
- 2008
- 2018
- 7
- 9
- a
- zdolność
- O nas
- działalność
- Dodaj
- Dodatkowy
- Dodaje
- oddziaływać
- przed
- aka
- Wszystkie kategorie
- pozwala
- również
- alternatywny
- wśród
- an
- analitycy
- i
- antywirusowe
- każdy
- mobilne i webowe
- APT
- AS
- At
- atakować
- Ataki
- próba
- Uwaga
- audio
- z powrotem
- tylne drzwi
- Backdoory
- BE
- być
- zanim
- jest
- Blokować
- Bloki
- naruszenie
- by
- nazywa
- oprawa ołowiana witrażu
- Kampanie
- CAN
- zdolność
- pewien
- łańcuch
- Chiny
- chiński
- przyjście
- sukcesy firma
- skompilowany
- Składa się
- ukryć
- połączony
- skontaktuj się
- przyczyniły
- Korporacyjny
- Listy uwierzytelniające
- cyber
- Ciemny
- dane
- Randki
- DCM
- dekada
- lat
- zaprojektowany
- Wykrywanie
- rozwinięty
- oprogramowania
- urządzenia
- katalogi
- robi
- Debel
- pobieranie
- najwcześniej
- ed
- krawędź
- redaktor
- faktycznie
- bez wysiłku
- Punkt końcowy
- Inżynieria
- zapewnić
- Równie
- szpiegostwo
- zapewniają
- itp
- Korzyści
- Akta
- i terminów, a
- następujący sposób
- W razie zamówieenia projektu
- Darmowy
- od
- dalej
- gra
- gigant
- Największym
- Zarządzanie
- Pół
- Have
- he
- pomoc
- Ukryty
- wysoki profil
- wysoko
- Hong
- Hongkong
- W jaki sposób
- http
- HTTPS
- Setki
- setki milionów
- ID
- in
- zawierać
- Włącznie z
- osób
- Informacja
- Infrastruktura
- wkład
- natychmiastowy
- zamiast
- najnowszych
- ISN
- IT
- JEGO
- samo
- Styczeń
- Japonia
- Japonki
- jpg
- znany
- Kong
- duży
- prawowity
- lubić
- rodowód
- wykazy
- długo
- maszyny
- złośliwy
- malware
- produkcja
- wiodący na rynku
- Może..
- W międzyczasie
- wiadomości
- metoda
- Microsoft
- może
- miliony
- Złagodzić
- mieszać
- Nowoczesne technologie
- monitor
- jeszcze
- multimedialny
- Tajemnica
- Nazwa
- O imieniu
- prawie
- sieć
- ruch sieciowy
- sieci
- nowo
- powieść
- już dziś
- of
- Biurowe
- on
- tylko
- or
- organizacji
- Inne
- własny
- Zapłacić
- doskonale
- wykonywane
- osoba
- phishing
- plato
- Analiza danych Platona
- PlatoDane
- zwrotnica
- polityk
- Popularny
- poprzednio
- głównie
- Produkty
- Programy
- projekt
- prawidłowo
- ochrona
- związane z
- Badania naukowe
- badania i rozwój
- badacz
- rewers
- run
- s
- taki sam
- mówią
- pozornie
- senior
- Serwery
- usługa
- Zestawy
- Powłoka
- ponieważ
- Skype
- Tworzenie
- jakoś
- wyrafinowany
- sofistyka
- na południowy wschód
- widmo
- rozpiętość
- przechowywany
- podsieci
- taki
- apartament
- Dostawa
- łańcuch dostaw
- Przetrwał
- system
- systemy
- Tajwan
- talenty
- cel
- ukierunkowane
- cele
- Telegram
- Tencent
- niż
- że
- Połączenia
- UK
- kradzież
- ich
- następnie
- one
- rzeczy
- to
- chociaż?
- groźba
- udaremniać
- do
- narzędzie
- narzędzia
- Handel
- ruch drogowy
- drugiej
- typowy
- Uk
- uniwersytet
- nieznany
- aż do
- Nowości
- posługiwać się
- używany
- Użytkownicy
- za pomocą
- różnorodny
- Ve
- sprzedawca
- przez
- Ofiary
- Wrażliwy
- była
- DOBRZE
- Co
- jeśli chodzi o komunikację i motywację
- czy
- który
- cały
- będzie
- w
- bez
- drewno
- słowa
- rok
- Twój
- zefirnet