С 2018 года ранее неизвестный китайский злоумышленник использует новый бэкдор в кибершпионских атаках «противник посередине» (AitM) на китайские и японские объекты.
Конкретные жертвы группа, которую ESET назвала «Blackwood» включают крупную китайскую производственную и торговую компанию, китайский офис японской инженерной и производственной компании, частных лиц в Китае и Японии, а также человека, говорящего по-китайски, связанного с известным исследовательским университетом в Великобритании.
Тот факт, что компания Blackwood стала известна только сейчас, спустя более пятидесяти лет с момента ее самой ранней известной деятельности, можно объяснить, прежде всего, двумя вещами: ее способностью без особых усилий скрывать вредоносное ПО в обновлениях популярных программных продуктов например, WPS Office, и само вредоносное ПО — весьма сложный шпионский инструмент под названием «NSPX30».
Блэквуд и NSPX30
Между тем, сложность NSPX30 можно объяснить почти двумя десятилетиями исследований и разработок.
По мнению аналитиков ESET, NSPX30 является продолжением длинной линии бэкдоров, восходящих к тому, что они посмертно назвали «Project Wood», и, по-видимому, впервые скомпилировано еще 9 января 2005 года.
Из проекта «Вуд», который в разное время использовался для нападения на политика из Гонконга, а затем в Тайвань, Гонконг и юго-восточный Китай, появились и другие варианты, включая DCM 2008 года (также известный как «Темный призрак»), который выжил в 2018 году. вредоносные кампании до XNUMX года.
NSPX30, разработанный в том же году, стал апогеем всего кибершпионажа, существовавшего до него.
Многоэтапный многофункциональный инструмент, состоящий из дроппера, установщика DLL, загрузчиков, оркестратора и бэкдора, причем последние два поставляются со своими собственными наборами дополнительных заменяемых плагинов.
Суть игры — кража информации, будь то данные о системе или сети, файлы и каталоги, учетные данные, нажатия клавиш, снимки экрана, аудио, чаты и списки контактов из популярных приложений для обмена сообщениями — WeChat, Telegram, Skype, Tencent QQ, и т. д. — и многое другое.
Помимо прочего, NSPX30 может устанавливать обратную оболочку, добавлять себя в белые списки китайских антивирусных инструментов и перехватывать сетевой трафик. Эта последняя возможность позволяет Blackwood эффективно скрывать свою инфраструктуру управления и контроля, что, возможно, способствовало ее длительному пребыванию без обнаружения.
Бэкдор, скрытый в обновлениях программного обеспечения
Однако величайший трюк Блэквуда одновременно является и его величайшей загадкой.
Чтобы заразить машины NSPX30, он не использует никаких типичных приемов: фишинг, зараженные веб-страницы и т. д. Вместо этого, когда определенные совершенно законные программы пытаются загрузить обновления с столь же законных корпоративных серверов через незашифрованный HTTP, Blackwood каким-то образом внедряет свой бэкдор. в смесь.
Другими словами, это не нарушение поставщиком цепочки поставок в стиле SolarWinds. Вместо этого ESET предполагает, что Blackwood может использовать сетевые имплантаты. Такие имплантаты могут храниться на уязвимых периферийных устройствах в целевых сетях. распространен среди других китайских APT.
Программные продукты, используемые для распространения NSPX30, включают WPS Office (популярную бесплатную альтернативу пакету офисного программного обеспечения Microsoft и Google), службу обмена мгновенными сообщениями QQ (разработанную мультимедийным гигантом Tencent) и редактор методов ввода Sogou Pinyin (рынок Китая). ведущий инструмент пиньинь с сотнями миллионов пользователей).
Так как же организации могут защититься от этой угрозы? Убедитесь, что ваш инструмент защиты конечных точек блокирует NSPX30, и обращайте внимание на обнаружение вредоносного ПО, связанного с законными программными системами, — советует Матье Тартар, старший исследователь вредоносного ПО в ESET. «Кроме того, должным образом отслеживайте и блокируйте атаки AitM, такие как отравление ARP — современные коммутаторы имеют функции, предназначенные для смягчения таких атак», — говорит он. Отключение IPv6 может помочь предотвратить атаку IPv6 SLAAC, добавляет он.
«Хорошо сегментированная сеть также поможет, поскольку AitM будет влиять только на ту подсеть, в которой он выполняется», — говорит Тартар.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/application-security/chinese-apt-hides-backdoor-in-software-updates
- :имеет
- :является
- :куда
- 2005
- 2008
- 2018
- 7
- 9
- a
- способность
- О нас
- деятельность
- Добавить
- дополнительный
- Добавляет
- влиять на
- против
- ака
- Все
- позволяет
- причислены
- альтернатива
- среди
- an
- Аналитики
- и
- антивирус
- любой
- Программы
- APT
- AS
- At
- атаковать
- нападки
- попытка
- внимание
- аудио
- назад
- задняя дверь
- Черные ходы
- BE
- было
- до
- не являетесь
- Заблокировать
- Блоки
- нарушение
- by
- под названием
- пришел
- Кампании
- CAN
- возможности
- определенный
- цепь
- Китай
- китайский
- приход
- Компания
- скомпилированный
- Состоит
- скрывать
- подключенный
- обращайтесь
- способствовало
- Корпоративное
- Полномочия
- кибер-
- темно
- данным
- Знакомства
- DCM
- десятилетие
- десятилетия
- предназначенный
- обнаружение
- развитый
- Развитие
- Устройства
- каталоги
- Безразлично
- Парный
- скачать
- раннее
- ed
- Edge
- редактор
- фактически
- легко
- Конечная точка
- Проект и
- обеспечивать
- одинаково
- шпионаж
- установить
- и т.д
- Особенности
- Файлы
- First
- следующим образом
- Что касается
- Бесплатно
- от
- далее
- игра
- гигант
- величайший
- группы
- Половина
- Есть
- he
- помощь
- Скрытый
- Высокий профиль
- очень
- Hong
- Гонконге
- Как
- HTTP
- HTTPS
- Сотни
- сотни миллионов
- ID
- in
- включают
- В том числе
- лиц
- информация
- Инфраструктура
- вход
- мгновение
- вместо
- в
- мобильной
- IT
- ЕГО
- саму трезвость
- Января
- Япония
- Японский
- JPG
- известный
- Kong
- большой
- законный
- такое как
- происхождение
- Списки
- Длинное
- Продукция
- злонамеренный
- вредоносных программ
- производство
- лидирующей на рынке
- Май..
- Между тем
- обмен сообщениями
- метод
- Microsoft
- может быть
- миллионы
- смягчать
- смешивать
- Модерн
- монитор
- БОЛЕЕ
- Мультимедиа
- Тайна
- имя
- Названный
- почти
- сеть
- сетевой трафик
- сетей
- вновь
- роман
- сейчас
- of
- Офис
- on
- только
- or
- организации
- Другое
- собственный
- ОПЛАТИТЬ
- в совершенстве
- выполнены
- человек
- фишинг
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- пунктов
- политик
- Популярное
- предварительно
- в первую очередь
- Продукция
- Программы
- Проект
- должным образом
- защиту
- Связанный
- исследованиям
- исследование и разработка
- исследователь
- обратный
- Run
- s
- то же
- говорит
- по-видимому
- старший
- Серверы
- обслуживание
- Наборы
- Оболочка
- с
- Skype
- Software
- как-то
- сложный
- утонченность
- юго-восток
- привидение
- распространение
- хранить
- подсети
- такие
- suite
- поставка
- цепочками поставок
- переживший
- система
- системы
- Тайвань
- таланты
- цель
- целевое
- направлена против
- Telegram
- Tencent
- чем
- который
- Ассоциация
- Великобритании
- кража
- их
- тогда
- они
- вещи
- этой
- хоть?
- угроза
- пресекать
- в
- инструментом
- инструменты
- Торговля
- трафик
- два
- типичный
- Uk
- Университет
- неизвестный
- до
- Updates
- использование
- используемый
- пользователей
- через
- различный
- Ve
- продавец
- с помощью
- жертвы
- Уязвимый
- законопроект
- ЧТО Ж
- Что
- когда
- будь то
- который
- все
- будете
- без
- дерево
- слова
- год
- ВАШЕ
- зефирнет