Sedan 2018 har en tidigare okänd kinesisk hotskådespelare använt en ny bakdörr i cyberspionageattacker av motståndare i mitten (AitM) mot kinesiska och japanska mål.
Specifika offer för gruppen som ESET har döpt till "Blackwood" inkluderar ett stort kinesiskt tillverknings- och handelsföretag, det kinesiska kontoret för ett japanskt ingenjörs- och tillverkningsföretag, individer i Kina och Japan och en kinesisktalande person med anknytning till ett högprofilerat forskningsuniversitet i Storbritannien.
Att Blackwood först släpps ut nu, mer än ett halvt decennium sedan dess tidigaste kända aktivitet, kan främst tillskrivas två saker: dess förmåga att utan ansträngning dölja skadlig programvara i uppdateringar för populära mjukvaruprodukter som WPS Office och själva skadliga programvaran, ett mycket sofistikerat spionageverktyg som heter "NSPX30."
Blackwood och NSPX30
Det sofistikerade hos NSPX30 kan under tiden tillskrivas nästan två hela decennier av forskning och utveckling.
Enligt ESET-analytiker följer NSPX30 från en lång rad bakdörrar som går tillbaka till vad de postumt har kallat "Project Wood", som till synes först sammanställdes den 9 januari 2005.
Från Project Wood – som vid olika tillfällen användes för att rikta in sig på en Hongkong-politiker och sedan mål i Taiwan, Hongkong och sydöstra Kina – kom ytterligare varianter, inklusive 2008 års DCM (aka "Dark Spectre"), som överlevde i skadliga kampanjer fram till 2018.
NSPX30, utvecklad samma år, är höjdpunkten för allt cyberspionage som kom före det.
Det flerstegiga, multifunktionella verktyget som består av en dropper, en DLL-installatör, lastare, orkestrator och bakdörr, där de två sistnämnda kommer med sina egna uppsättningar av ytterligare, utbytbara plugin-program.
Namnet på spelet är informationsstöld, oavsett om det är data om systemet eller nätverket, filer och kataloger, referenser, tangenttryckningar, skärmdumpar, ljud, chattar och kontaktlistor från populära meddelandeappar — WeChat, Telegram, Skype, Tencent QQ, etc. — och mer.
Bland andra talanger kan NSPX30 skapa ett omvänt skal, lägga till sig själv till godkännandelistor i kinesiska antivirusverktyg och avlyssna nätverkstrafik. Den sistnämnda förmågan gör att Blackwood effektivt kan dölja sin kommando- och kontrollinfrastruktur, vilket kan ha bidragit till dess långa sikt utan upptäckt.
En bakdörr gömd i programuppdateringar
Blackwoods största trick av alla fungerar dock också som dess största mysterium.
För att infektera maskiner med NSPX30 använder den inte något av de typiska knepen: nätfiske, infekterade webbsidor, etc. Istället, när vissa helt legitima program försöker ladda ner uppdateringar från lika legitima företagsservrar via okrypterad HTTP, injicerar Blackwood på något sätt också sin bakdörr i blandningen.
Med andra ord, detta är inte ett SolarWinds-liknande leveranskedjebrott från en leverantör. Istället spekulerar ESET att Blackwood kan använda nätverksimplantat. Sådana implantat kan lagras i sårbara kantenheter i riktade nätverk, som de är vanligt bland andra kinesiska APT.
Programvaruprodukterna som används för att sprida NSPX30 inkluderar WPS Office (ett populärt gratis alternativ till Microsoft och Googles svit med kontorsprogram), QQ-snabbmeddelandetjänsten (utvecklad av multimediajätten Tencent) och Sogou Pinyin-redigeraren för inmatningsmetod (Kinas marknad- ledande pinyinverktyg med hundratals miljoner användare).
Så hur kan organisationer försvara sig mot detta hot? Se till att ditt endpoint-skyddsverktyg blockerar NSPX30 och var uppmärksam på upptäckt av skadlig programvara relaterade till legitima programvarusystem, råder Mathieu Tartare, senior forskare om skadlig programvara på ESET. "Också, korrekt övervaka och blockera AitM-attacker som ARP-förgiftning - moderna switchar har funktioner som är utformade för att mildra sådana attacker", säger han. Att inaktivera IPv6 kan hjälpa till att motverka en IPv6 SLAAC-attack, tillägger han.
"Ett välsegmenterat nätverk kommer också att hjälpa, eftersom AitM endast kommer att påverka undernätet där det utförs", säger Tartare.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.darkreading.com/application-security/chinese-apt-hides-backdoor-in-software-updates
- : har
- :är
- :var
- 2005
- 2008
- 2018
- 7
- 9
- a
- förmåga
- Om oss
- aktivitet
- lägga till
- Annat
- Lägger
- påverka
- mot
- aka
- Alla
- tillåter
- också
- alternativ
- bland
- an
- analytiker
- och
- antivirus
- vilken som helst
- appar
- APT
- AS
- At
- attackera
- Attacker
- försök
- uppmärksamhet
- audio
- tillbaka
- bakdörr
- Bakdörrar
- BE
- varit
- innan
- Där vi får lov att vara utan att konstant prestera,
- Blockera
- Block
- brott
- by
- kallas
- kom
- Kampanjer
- KAN
- kapacitet
- vissa
- kedja
- Kina
- kinesisk
- kommande
- företag
- sammanställas
- Består
- dölja
- anslutna
- kontakta
- bidrog
- Företag
- referenser
- cyber
- mörkt
- datum
- datering
- DCM
- årtionde
- årtionden
- utformade
- Detektering
- utvecklade
- Utveckling
- enheter
- kataloger
- doesn
- Dubbel
- ladda ner
- tidigast
- ed
- kant
- redaktör
- effektivt
- enkelt
- Slutpunkt
- Teknik
- säkerställa
- lika
- spionage
- etablera
- etc
- Funktioner
- Filer
- Förnamn
- följer
- För
- Fri
- från
- ytterligare
- lek
- jätte
- störst
- Grupp
- Hälften
- Har
- he
- hjälpa
- dold
- hög profil
- höggradigt
- Hong
- Hong Kong
- Hur ser din drömresa ut
- http
- HTTPS
- Hundratals
- hundratals miljoner
- ID
- in
- innefattar
- Inklusive
- individer
- informationen
- Infrastruktur
- ingång
- omedelbar
- istället
- in
- isn
- IT
- DESS
- sig
- jan
- Japan
- japanska
- jpg
- känd
- Kong
- Large
- legitim
- tycka om
- härstamning
- listor
- Lång
- Maskiner
- skadlig
- malware
- Produktion
- Marknadsledande
- Maj..
- Samtidigt
- meddelandehantering
- metod
- Microsoft
- kanske
- miljoner
- Mildra
- Blanda
- Modern Konst
- Övervaka
- mer
- multimedia
- Mystery
- namn
- Som heter
- nästan
- nät
- nätverkstrafik
- nätverk
- nytt
- roman
- nu
- of
- Office
- on
- endast
- or
- organisationer
- Övriga
- egen
- Betala
- perfekt
- utfört
- personen
- Nätfiske
- plato
- Platon Data Intelligence
- PlatonData
- poäng
- politikar
- Populära
- tidigare
- primärt
- Produkter
- Program
- projektet
- ordentligt
- skydd
- relaterad
- forskning
- forskning och utveckling
- forskaren
- vända
- Körning
- s
- Samma
- säger
- till synes
- senior
- Servrar
- service
- uppsättningar
- Shell
- eftersom
- Skype
- Mjukvara
- på något sätt
- sofistikerade
- raffinemang
- sydöst
- spöke
- spridning
- lagras
- undernät
- sådana
- svit
- leverera
- leveranskedjan
- Överlevde levde~~POS=HEADCOMP
- system
- System
- Taiwan
- talanger
- Målet
- riktade
- mål
- Telegram
- Tencent
- än
- den där
- Smakämnen
- Storbritannien
- stöld
- deras
- sedan
- de
- saker
- detta
- fastän?
- hot
- omintetgöra
- till
- verktyg
- verktyg
- Handel
- trafik
- två
- typisk
- Uk
- universitet
- okänd
- tills
- Uppdateringar
- användning
- Begagnade
- användare
- med hjälp av
- olika
- Ve
- leverantör
- via
- offer
- Sårbara
- var
- VÄL
- Vad
- när
- om
- som
- Hela
- kommer
- med
- utan
- trä
- ord
- år
- Din
- zephyrnet