Недавно идентифицированный китайский APT скрывает бэкдор в обновлениях программного обеспечения

С 2018 года ранее неизвестный китайский злоумышленник использует новый бэкдор в кибершпионских атаках «противник посередине» (AitM) на китайские и японские объекты.

Конкретные жертвы группа, которую ESET назвала «Blackwood» включают крупную китайскую производственную и торговую компанию, китайский офис японской инженерной и производственной компании, частных лиц в Китае и Японии, а также человека, говорящего по-китайски, связанного с известным исследовательским университетом в Великобритании.

Тот факт, что компания Blackwood стала известна только сейчас, спустя более пятидесяти лет с момента ее самой ранней известной деятельности, можно объяснить, прежде всего, двумя вещами: ее способностью без особых усилий скрывать вредоносное ПО в обновлениях популярных программных продуктов например, WPS Office, и само вредоносное ПО — весьма сложный шпионский инструмент под названием «NSPX30».

Блэквуд и NSPX30

Между тем, сложность NSPX30 можно объяснить почти двумя десятилетиями исследований и разработок.

По мнению аналитиков ESET, NSPX30 является продолжением длинной линии бэкдоров, восходящих к тому, что они посмертно назвали «Project Wood», и, по-видимому, впервые скомпилировано еще 9 января 2005 года.

Из проекта «Вуд», который в разное время использовался для нападения на политика из Гонконга, а затем в Тайвань, Гонконг и юго-восточный Китай, появились и другие варианты, включая DCM 2008 года (также известный как «Темный призрак»), который выжил в 2018 году. вредоносные кампании до XNUMX года.

NSPX30, разработанный в том же году, стал апогеем всего кибершпионажа, существовавшего до него.

Многоэтапный многофункциональный инструмент, состоящий из дроппера, установщика DLL, загрузчиков, оркестратора и бэкдора, причем последние два поставляются со своими собственными наборами дополнительных заменяемых плагинов.

Суть игры — кража информации, будь то данные о системе или сети, файлы и каталоги, учетные данные, нажатия клавиш, снимки экрана, аудио, чаты и списки контактов из популярных приложений для обмена сообщениями — WeChat, Telegram, Skype, Tencent QQ, и т. д. — и многое другое.

Помимо прочего, NSPX30 может устанавливать обратную оболочку, добавлять себя в белые списки китайских антивирусных инструментов и перехватывать сетевой трафик. Эта последняя возможность позволяет Blackwood эффективно скрывать свою инфраструктуру управления и контроля, что, возможно, способствовало ее длительному пребыванию без обнаружения.

Бэкдор, скрытый в обновлениях программного обеспечения

Однако величайший трюк Блэквуда одновременно является и его величайшей загадкой.

Чтобы заразить машины NSPX30, он не использует никаких типичных приемов: фишинг, зараженные веб-страницы и т. д. Вместо этого, когда определенные совершенно законные программы пытаются загрузить обновления с столь же законных корпоративных серверов через незашифрованный HTTP, Blackwood каким-то образом внедряет свой бэкдор. в смесь.

Другими словами, это не нарушение поставщиком цепочки поставок в стиле SolarWinds. Вместо этого ESET предполагает, что Blackwood может использовать сетевые имплантаты. Такие имплантаты могут храниться на уязвимых периферийных устройствах в целевых сетях. распространен среди других китайских APT.

Программные продукты, используемые для распространения NSPX30, включают WPS Office (популярную бесплатную альтернативу пакету офисного программного обеспечения Microsoft и Google), службу обмена мгновенными сообщениями QQ (разработанную мультимедийным гигантом Tencent) и редактор методов ввода Sogou Pinyin (рынок Китая). ведущий инструмент пиньинь с сотнями миллионов пользователей).

Так как же организации могут защититься от этой угрозы? Убедитесь, что ваш инструмент защиты конечных точек блокирует NSPX30, и обращайте внимание на обнаружение вредоносного ПО, связанного с законными программными системами, — советует Матье Тартар, старший исследователь вредоносного ПО в ESET. «Кроме того, должным образом отслеживайте и блокируйте атаки AitM, такие как отравление ARP — современные коммутаторы имеют функции, предназначенные для смягчения таких атак», — говорит он. Отключение IPv6 может помочь предотвратить атаку IPv6 SLAAC, добавляет он.

«Хорошо сегментированная сеть также поможет, поскольку AitM будет влиять только на ту подсеть, в которой он выполняется», — говорит Тартар.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/application-security/chinese-apt-hides-backdoor-in-software-updates