Din 2018, un actor chinez de amenințări necunoscut anterior a folosit o ușă din spate inedită în atacurile de spionaj cibernetic adversar-in-the-middle (AitM) împotriva țintelor chineze și japoneze.
Victime specifice ale grupul pe care ESET l-a numit „Blackwood” includ o mare companie chineză de producție și comercializare, biroul chinez al unei companii de inginerie și producție japoneză, persoane fizice din China și Japonia și o persoană vorbitoare de chineză conectată cu o universitate de cercetare de mare profil din Marea Britanie.
Că Blackwood este abia acum, la mai bine de o jumătate de deceniu de la prima sa activitate cunoscută, poate fi atribuit în primul rând două lucruri: capacitatea sa de a face fără efort. ascundeți programele malware în actualizările pentru produse software populare precum WPS Office și malware-ul în sine, un instrument de spionaj extrem de sofisticat numit „NSPX30”.
Blackwood și NSPX30
Între timp, sofisticarea NSPX30 poate fi atribuită aproape două decenii întregi de cercetare și dezvoltare.
Potrivit analiștilor ESET, NSPX30 provine dintr-o lungă generație de uși din spate care datează de la ceea ce au numit postum „Proiect Wood”, aparent compilat pentru prima dată pe 9 ianuarie 2005.
De la Project Wood – care, în diferite puncte, a fost folosit pentru a viza un politician din Hong Kong, iar apoi ținte în Taiwan, Hong Kong și sud-estul Chinei – au venit alte variante, inclusiv DCM din 2008 (alias „Dark Spectre”), care a supraviețuit în campanii rău intenționate până în 2018.
NSPX30, dezvoltat în același an, este apogeul oricărui spionaj cibernetic care a apărut înaintea lui.
Instrumentul multifuncțional, cu mai multe etape, compus dintr-un dropper, un program de instalare DLL, încărcătoare, orchestrator și backdoor, ultimele două având propriile seturi de pluginuri suplimentare, interschimbabile.
Numele jocului este furtul de informații, fie că este vorba de date despre sistem sau rețea, fișiere și directoare, acreditări, apăsări de taste, capturi de ecran, audio, chat-uri și liste de contacte din aplicațiile de mesagerie populare - WeChat, Telegram, Skype, Tencent QQ, etc. — și mai mult.
Printre alte talente, NSPX30 poate stabili un shell invers, se poate adăuga pe listele de permise în instrumentele antivirus chinezești și poate intercepta traficul de rețea. Această ultimă capacitate permite Blackwood să-și ascundă în mod eficient infrastructura de comandă și control, care ar fi putut contribui la funcționarea sa lungă fără detectare.
O ușă din spate ascunsă în actualizările software
Totuși, cel mai mare truc al lui Blackwood este și cel mai mare mister al său.
Pentru a infecta mașinile cu NSPX30, nu folosește niciunul dintre trucurile tipice: phishing, pagini web infectate etc. În schimb, atunci când anumite programe perfect legitime încearcă să descarce actualizări de pe servere corporative la fel de legitime prin HTTP necriptat, Blackwood își injectează cumva și ușa din spate. în amestec.
Cu alte cuvinte, aceasta nu este o încălcare a lanțului de aprovizionare în stil SolarWinds a unui furnizor. În schimb, ESET speculează că Blackwood ar putea folosi implanturi de rețea. Astfel de implanturi ar putea fi stocate în dispozitive de margine vulnerabile în rețelele vizate, așa cum sunt comune printre alte APT-uri chineze.
Produsele software folosite pentru a răspândi NSPX30 includ WPS Office (o alternativă populară gratuită la suita de software de birou Microsoft și Google), serviciul de mesagerie instant QQ (dezvoltat de gigantul multimedia Tencent) și editorul de metode de introducere Sogou Pinyin (piața chineză- instrument pinyin lider cu sute de milioane de utilizatori).
Deci, cum pot organizațiile să se apere împotriva acestei amenințări? Asigurați-vă că instrumentul dvs. de protecție a punctelor terminale blochează NSPX30 și acordați atenție detectărilor de malware legate de sistemele software legitime, sfătuiește Mathieu Tartare, cercetător senior de malware la ESET. „De asemenea, monitorizați și blocați corect atacurile AitM, cum ar fi otrăvirea ARP – comutatoarele moderne au caracteristici concepute pentru a atenua un astfel de atac”, spune el. Dezactivarea IPv6 poate ajuta la contracararea unui atac IPv6 SLAAC, adaugă el.
„O rețea bine segmentată va ajuta, de asemenea, deoarece AitM va afecta doar subrețeaua în care este realizată”, spune Tartare.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.darkreading.com/application-security/chinese-apt-hides-backdoor-in-software-updates
- :are
- :este
- :Unde
- 2005
- 2008
- 2018
- 7
- 9
- a
- capacitate
- Despre Noi
- activitate
- adăuga
- Suplimentar
- Adaugă
- afecta
- împotriva
- Propriul rol
- TOATE
- permite
- de asemenea
- alternativă
- printre
- an
- analiști
- și
- antivirus
- Orice
- Apps
- APT
- AS
- At
- ataca
- Atacuri
- încercare
- atenţie
- audio
- înapoi
- ușă din dos
- Backdoors
- BE
- fost
- înainte
- fiind
- Bloca
- Blocuri
- încălcarea
- by
- denumit
- a venit
- Campanii
- CAN
- capacitate
- sigur
- lanţ
- China
- chinez
- venire
- companie
- compilat
- Compus
- ascunde
- legat
- contactați-ne
- Contribuit
- Istoria
- scrisori de acreditare
- Cyber
- Întuneric
- de date
- datare
- DCM
- deceniu
- zeci de ani
- proiectat
- Detectare
- dezvoltat
- Dezvoltare
- Dispozitive
- directoare
- nu
- Dublu
- Descarca
- cel mai devreme
- ed
- Margine
- editor
- în mod eficient
- efort
- Punct final
- Inginerie
- asigura
- la fel de
- spionaj
- stabili
- etc
- DESCRIERE
- Fişiere
- First
- urmează
- Pentru
- Gratuit
- din
- mai mult
- joc
- gigant
- cea mai mare
- grup
- Jumătate
- Avea
- he
- ajutor
- Ascuns
- Profil înalt
- extrem de
- Hong
- Hong Kong
- Cum
- http
- HTTPS
- sute
- sute de milioane
- ID
- in
- include
- Inclusiv
- persoane fizice
- informații
- Infrastructură
- intrare
- clipă
- in schimb
- în
- ISN
- IT
- ESTE
- în sine
- Jan
- Japonia
- Japonez
- jpg
- cunoscut
- Kong
- mare
- legitim
- ca
- descendență
- liste
- Lung
- Masini
- rău
- malware
- de fabricaţie
- lider de piata
- Mai..
- Între timp
- mesagerie
- metodă
- Microsoft
- ar putea
- milioane
- diminua
- amesteca
- Modern
- monitor
- mai mult
- Multimedia
- Mister
- nume
- Numit
- aproape
- reţea
- trafic de retea
- rețele
- recent
- roman
- acum
- of
- Birou
- on
- afară
- or
- organizații
- Altele
- propriu
- Plătește
- perfect
- efectuată
- persoană
- Phishing
- Plato
- Informații despre date Platon
- PlatoData
- puncte
- politician
- Popular
- în prealabil
- în primul rând
- Produse
- Programe
- proiect
- cum se cuvine
- protecţie
- legate de
- cercetare
- cercetare și dezvoltare
- cercetător
- inversa
- Alerga
- s
- acelaşi
- spune
- aparent
- senior
- Servere
- serviciu
- Seturi
- Coajă
- întrucât
- Skype
- Software
- oarecum
- sofisticat
- rafinament
- Sud Est
- spectru
- răspândire
- stocate
- subrețea
- astfel de
- suită
- livra
- lanțului de aprovizionare
- supravieţuit
- sistem
- sisteme
- Taiwan
- talente
- Ţintă
- vizate
- obiective
- Telegramă
- Tencent
- decât
- acea
- Marea Britanie
- furt
- lor
- apoi
- ei
- lucruri
- acest
- deşi?
- amenințare
- contracara
- la
- instrument
- Unelte
- Trading
- trafic
- Două
- tipic
- Uk
- universitate
- necunoscut
- până la
- actualizări
- utilizare
- utilizat
- utilizatorii
- folosind
- diverse
- Ve
- vânzător
- de
- victime
- vulnerabil
- a fost
- BINE
- Ce
- cand
- dacă
- care
- întreg
- voi
- cu
- fără
- lemn
- cuvinte
- an
- Ta
- zephyrnet
