Desde 2018, um ator de ameaça chinês até então desconhecido tem usado um novo backdoor em ataques de espionagem cibernética de adversário no meio (AitM) contra alvos chineses e japoneses.
Vítimas específicas de o grupo que a ESET chamou de “Blackwood” incluem uma grande empresa chinesa de manufatura e comércio, o escritório chinês de uma empresa japonesa de engenharia e manufatura, indivíduos na China e no Japão e uma pessoa de língua chinesa ligada a uma universidade de pesquisa de alto nível no Reino Unido.
O fato de Blackwood só estar sendo divulgado agora, mais de meia década desde sua primeira atividade conhecida, pode ser atribuído principalmente a duas coisas: sua capacidade de ocultar malware em atualizações de produtos de software populares como o WPS Office, e o próprio malware, uma ferramenta de espionagem altamente sofisticada chamada “NSPX30”.
Blackwood e NSPX30
A sofisticação do NSPX30, entretanto, pode ser atribuída a quase duas décadas inteiras de pesquisa e desenvolvimento.
De acordo com analistas da ESET, o NSPX30 segue uma longa linhagem de backdoors que remonta ao que eles chamaram postumamente de “Projeto Wood”, aparentemente compilado pela primeira vez em 9 de janeiro de 2005.
Do Projeto Wood – que, em vários pontos, foi usado para atingir um político de Hong Kong, e depois atingir Taiwan, Hong Kong e sudeste da China – surgiram outras variantes, incluindo o DCM de 2008 (também conhecido como “Dark Spectre”), que sobreviveu em campanhas maliciosas até 2018.
O NSPX30, desenvolvido no mesmo ano, é o apogeu de toda a espionagem cibernética que veio antes dele.
A ferramenta multifuncional e de vários estágios composta por um conta-gotas, um instalador de DLL, carregadores, orquestrador e backdoor, com os dois últimos vindo com seus próprios conjuntos de plug-ins adicionais trocáveis.
O nome do jogo é roubo de informações, sejam dados sobre o sistema ou rede, arquivos e diretórios, credenciais, pressionamentos de teclas, capturas de tela, áudio, bate-papos e listas de contatos de aplicativos de mensagens populares – WeChat, Telegram, Skype, Tencent QQ, etc. - e muito mais.
Entre outros talentos, o NSPX30 pode estabelecer um shell reverso, adicionar-se a listas de permissões em ferramentas antivírus chinesas e interceptar o tráfego de rede. Esta última capacidade permite à Blackwood ocultar eficazmente a sua infra-estrutura de comando e controlo, o que pode ter contribuído para o seu longo período sem detecção.
Um backdoor oculto nas atualizações de software
O maior truque de Blackwood, porém, também funciona como seu maior mistério.
Para infectar máquinas com NSPX30, ele não usa nenhum dos truques típicos: phishing, páginas da web infectadas, etc. Em vez disso, quando certos programas perfeitamente legítimos tentam baixar atualizações de servidores corporativos igualmente legítimos por meio de HTTP não criptografado, o Blackwood de alguma forma também injeta seu backdoor na mistura.
Em outras palavras, esta não é uma violação da cadeia de suprimentos de um fornecedor no estilo SolarWinds. Em vez disso, a ESET especula que a Blackwood pode estar usando implantes de rede. Esses implantes podem ser armazenados em dispositivos periféricos vulneráveis em redes direcionadas, como é o caso comum entre outros APTs chineses.
Os produtos de software usados para difundir o NSPX30 incluem o WPS Office (uma alternativa gratuita popular ao pacote de software de escritório da Microsoft e do Google), o serviço de mensagens instantâneas QQ (desenvolvido pela gigante multimídia Tencent) e o editor de método de entrada Sogou Pinyin (o editor de método de entrada da China). ferramenta pinyin líder com centenas de milhões de usuários).
Então, como as organizações podem se defender contra essa ameaça? Certifique-se de que sua ferramenta de proteção de endpoint bloqueie o NSPX30 e preste atenção às detecções de malware relacionadas a sistemas de software legítimos, aconselha Mathieu Tartare, pesquisador sênior de malware da ESET. “Além disso, monitore e bloqueie adequadamente ataques AitM, como envenenamento ARP – os switches modernos possuem recursos projetados para mitigar esse tipo de ataque”, diz ele. Desativar o IPv6 pode ajudar a impedir um ataque SLAAC IPv6, acrescenta.
“Uma rede bem segmentada também ajudará, pois o AitM afetará apenas a sub-rede onde é executado”, diz Tartare.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/application-security/chinese-apt-hides-backdoor-in-software-updates
- :tem
- :é
- :onde
- 2005
- 2008
- 2018
- 7
- 9
- a
- habilidade
- Sobre
- atividade
- adicionar
- Adicional
- Adiciona
- afetar
- contra
- aka
- Todos os Produtos
- permite
- tb
- alternativa
- entre
- an
- Analistas
- e
- antivirus
- qualquer
- Aplicativos
- APT
- AS
- At
- ataque
- Ataques
- tentativa
- por WhatsApp.
- auditivo
- em caminho duplo
- Porta dos fundos
- Backdoors
- BE
- sido
- antes
- ser
- Bloquear
- Blocos
- violação
- by
- chamado
- veio
- Campanhas
- CAN
- capacidade
- certo
- cadeia
- China
- chinês
- vinda
- Empresa
- compilado
- Composto
- dissimular
- conectado
- Contacto
- contribuiu
- Responsabilidade
- Credenciais
- cibernético
- Escuro
- dados,
- Namoro
- DCM
- década
- décadas
- projetado
- Detecção
- desenvolvido
- Desenvolvimento
- Dispositivos/Instrumentos
- diretórios
- não
- Dupla
- download
- mais cedo
- ed
- borda
- editor
- efetivamente
- sem esforço
- Ponto final
- Engenharia
- garantir
- igualmente
- espionagem
- estabelecer
- etc.
- Funcionalidades
- Arquivos
- Primeiro nome
- segue
- Escolha
- Gratuito
- da
- mais distante
- jogo
- gigante
- maior
- Grupo
- Metade
- Ter
- he
- ajudar
- oculto
- de alto perfil
- altamente
- Hong
- 香港
- Como funciona o dobrador de carta de canal
- http
- HTTPS
- Centenas
- centenas de milhões
- ID
- in
- incluir
- Incluindo
- indivíduos
- INFORMAÇÕES
- Infraestrutura
- entrada
- instantâneos
- em vez disso
- para dentro
- isn
- IT
- ESTÁ
- se
- Jan
- Japão
- Japonês
- jpg
- conhecido
- Kong
- grande
- legítimo
- como
- linhagem
- listas
- longo
- máquinas
- malicioso
- malwares
- fabrica
- liderança de mercado
- Posso..
- Entretanto
- mensagens
- método
- Microsoft
- poder
- milhões
- Mitigar
- misturar
- EQUIPAMENTOS
- Monitore
- mais
- Vídeos
- Mistério
- nome
- Nomeado
- quase
- rede
- tráfego de rede
- redes
- recentemente
- romance
- agora
- of
- Office
- on
- só
- or
- organizações
- Outros
- próprio
- Pagar
- perfeitamente
- realizada
- pessoa
- Phishing
- platão
- Inteligência de Dados Platão
- PlatãoData
- pontos
- político
- Popular
- anteriormente
- principalmente
- Produtos
- Programas
- projeto
- devidamente
- proteção
- relacionado
- pesquisa
- pesquisa e desenvolvimento
- investigador
- reverso
- Execute
- s
- mesmo
- diz
- aparentemente
- senior
- Servidores
- serviço
- Conjuntos
- concha
- desde
- Skype
- Software
- de alguma forma
- sofisticado
- sofisticação
- sudeste
- espectro
- propagação
- armazenadas
- sub-rede
- tal
- suíte
- supply
- cadeia de suprimentos
- Sobreviveu
- .
- sistemas
- Taiwan
- talentos
- Target
- visadas
- tem como alvo
- Telegram
- Tencent
- do que
- que
- A
- do Reino Unido
- roubo
- deles
- então
- deles
- coisas
- isto
- Apesar?
- ameaça
- contrariar
- para
- ferramenta
- ferramentas
- Trading
- tráfego
- dois
- típico
- Uk
- universidade
- desconhecido
- até
- Atualizações
- usar
- usava
- usuários
- utilização
- vário
- Ve
- fornecedor
- via
- vítimas
- Vulnerável
- foi
- BEM
- O Quê
- quando
- se
- qual
- inteiro
- precisarão
- de
- sem
- madeira
- palavras
- ano
- investimentos
- zefirnet
