Cercetătorii au identificat un pachet popular open source care ar putea ascunde malware de spionaj industrial.
„SqzrFramework480” este o bibliotecă de legături dinamice (DLL) .NET care pare să aparțină Bozhon Precision Industry Technology Co., un producător chinez de electronice de larg consum și diverse tehnologii industriale. Funcțiile menționate ale fișierului includ gestionarea și crearea de interfețe grafice cu utilizatorul (GUI), inițializarea și configurarea bibliotecilor de viziune artificială, ajustarea setărilor de mișcare robotică și multe altele. A fost încărcat în depozitul cu sursă deschisă NuGet pe 24 ianuarie și are deja 3,000 de descărcări, la momentul scrierii acestui articol.
S-ar putea, în cele din urmă, să nu fie mai mult decât ceea ce spune că este. Dar cercetătorii de la ReversingLabs au semnalat SqzrFramework480 ca suspect într-un nou raport, datorită unei metode îngropate înăuntru care pare să facă lucruri destul de rău intenționate: capturarea de capturi de ecran, deschiderea unui socket și exfiltrarea datelor la o adresă IP ascunsă.
SqzrFramework480 este un backdoor OT?
Software-ul dezvoltat de companiile chineze a fost utilizate în atacuri rău intenționate ale lanțului de aprovizionare înainte și amenințări cibernetice la adresa sistemelor industriale nu sunt noi acolo.
Este SqzrFramework480 o continuare a acestor tendințe? Răspunsul constă în metoda sa, „Init”.
Sarcina lui Init începe prin ping-ul unei adrese IP de la distanță. Această adresă IP este stocată ca o matrice de octeți, unde fiecare octet este un caracter codificat ASCII.
Dacă ping-ul nu reușește, programul intră în stare de repaus și încearcă din nou 30 de secunde mai târziu. Dacă reușește, deschide un socket și se conectează la acea adresă IP. Apoi face o captură de ecran a monitorului pe care este instalat, îl împachetează într-o matrice de octeți și îl trimite prin socket.
Pe de o parte, au postulat cercetătorii, acesta ar putea fi pur și simplu un mecanism de transmitere a imaginilor de la o cameră Bozhon la o stație de lucru. Dar anumite dovezi contextuale tulbură această teorie.
În primul rând, numele și clasele din SqzrFramework480 tind să aibă etichete destul de nedescriptive; nicăieri, de exemplu, nu s-ar putea deduce că captează capturi de ecran. Și de ce adresa IP la care trimite ping este ascunsă ca un octet? „Este un fel de practică suspectă sau neobișnuită”, notează Petar Kirhmajer, autorul raportului. „De ce nu ați include pur și simplu IP-ul [în text simplu]?”
Pe lângă eforturile depuse pentru a ascunde Init, mai există și faptul că pachetul a fost listat de un cont NuGet nedescriptiv a cărui singură listă anterioară a fost „SqzrFramework480.Faker”, o versiune ascunsă a SqzrFramework480.
În locul oricărei arme fumigene, SqzrFramework480 rămâne live și disponibil pentru descărcare.
„Sugestia mea ar fi să nu ai încredere orbește în fiecare pachet”, spune Kirhmajer. „Dacă poți, ar trebui să le auditezi singur [manual]. Și dacă nu aveți resursele pentru a o face singur, ar trebui să utilizați instrumente pentru a scana automat acele pachete.”
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.darkreading.com/ics-ot-security/dubious-nuget-package-chinese-industrial-espionage
- :are
- :este
- :nu
- :Unde
- $UP
- 000
- 24
- 30
- 7
- a
- Cont
- adresa
- reglare
- din nou
- deja
- de asemenea
- an
- și
- răspunde
- Orice
- apare
- SUNT
- Mulțime
- AS
- de audit
- autor
- în mod automat
- disponibil
- ușă din dos
- BE
- fost
- înainte
- începe
- orbeşte
- dar
- by
- aparat foto
- CAN
- capturi
- capturarea
- sigur
- lanţ
- caracter
- chinez
- clase
- CO
- Companii
- configurarea
- Connects
- consumator
- contextual
- continuare
- ar putea
- Crearea
- de date
- dezvoltat
- do
- face
- don
- Descarca
- download-uri
- dinamic
- fiecare
- Componente electronice
- capăt
- spionaj
- Fiecare
- dovadă
- exemplu
- fapt
- Fișier
- fanionat
- Pentru
- din
- funcții
- Merge
- plecat
- mână
- Avea
- ascunde
- HTTPS
- identificat
- if
- imagini
- in
- include
- industrial
- industrie
- în interiorul
- instalat
- interfeţe
- în
- IP
- Adresa IP
- ISN
- IT
- ESTE
- Jan
- Loc de munca
- jpeg
- doar
- Copil
- etichete
- mai tarziu
- biblioteci
- Bibliotecă
- se află
- loc
- LINK
- listat
- listare
- trăi
- maşină
- rău
- malware
- de conducere
- manual
- Producător
- Mai..
- mecanism
- metodă
- monitor
- mai mult
- mişcare
- my
- nume
- net
- Nou
- Nu.
- notițe
- nicăieri
- ascuns
- of
- on
- ONE
- afară
- deschide
- open-source
- de deschidere
- deschide
- or
- ot
- pachet
- ofertele
- ping
- Plato
- Informații despre date Platon
- PlatoData
- Popular
- practică
- Precizie
- anterior
- Program
- mai degraba
- rămășițe
- la distanta
- raportează
- depozit
- cercetători
- Resurse
- s
- spune
- scanare
- capturi de ecran
- secunde
- pare
- trimite
- setări
- să
- pur şi simplu
- dormi
- Sursă
- stabilit
- stocate
- de streaming
- reuși
- de succes
- livra
- lanțului de aprovizionare
- suspicios
- ia
- Tehnologii
- Tehnologia
- Tind
- decât
- mulțumesc
- acea
- Lor
- apoi
- teorie
- Acolo.
- Acestea
- lucru
- lucruri
- acest
- aceste
- amenințări
- Prin
- la
- Unelte
- Tendinţe
- Încredere
- neobișnuit
- încărcat
- utilizare
- Utilizator
- diverse
- versiune
- viziune
- a fost
- Ce
- a caror
- de ce
- în
- Statie de lucru
- ar
- n-ar fi
- scris
- Tu
- te
- zephyrnet