ตั้งแต่ปี 2018 เป็นต้นมา ผู้แสดงภัยคุกคามชาวจีนที่ไม่รู้จักมาก่อนหน้านี้ได้ใช้แบ็คดอร์ใหม่ในการโจมตีจารกรรมทางไซเบอร์แบบศัตรูกลาง (AitM) ต่อเป้าหมายจีนและญี่ปุ่น
เหยื่อเฉพาะของ กลุ่มที่ ESET ตั้งชื่อให้ว่า “Blackwood” รวมถึงบริษัทการผลิตและการค้าจีนขนาดใหญ่ สำนักงานในจีนของบริษัทวิศวกรรมและการผลิตของญี่ปุ่น บุคคลในจีนและญี่ปุ่น และบุคคลที่พูดภาษาจีนที่เกี่ยวข้องกับมหาวิทยาลัยวิจัยที่มีชื่อเสียงในสหราชอาณาจักร
แบล็ควูดเพิ่งถูกปล่อยออกมาในขณะนี้ เป็นเวลากว่าครึ่งทศวรรษนับตั้งแต่มีกิจกรรมแรกสุดที่รู้จัก มีสาเหตุหลักมาจากสองสิ่ง: ความสามารถในการใช้งานได้อย่างง่ายดาย ปกปิดมัลแวร์ในการอัพเดตสำหรับผลิตภัณฑ์ซอฟต์แวร์ยอดนิยม เช่น WPS Office และตัวมัลแวร์ ซึ่งเป็นเครื่องมือจารกรรมที่มีความซับซ้อนสูงที่เรียกว่า “NSPX30”
แบล็ควูดและ NSPX30
ความซับซ้อนของ NSPX30 เป็นผลมาจากการวิจัยและพัฒนาเกือบสองทศวรรษ
ตามที่นักวิเคราะห์ของ ESET NSPX30 ติดตามมาจากแบ็คดอร์ที่มีมายาวนาน ย้อนกลับไปถึงสิ่งที่พวกเขาได้ตั้งชื่อให้ภายหลังมรณกรรมว่า “Project Wood” ซึ่งดูเหมือนว่าจะรวบรวมครั้งแรกเมื่อวันที่ 9 มกราคม 2005
จากโปรเจ็กต์วูด ซึ่งในหลายจุดเคยใช้ในการกำหนดเป้าหมายนักการเมืองฮ่องกง จากนั้นจึงกำหนดเป้าหมายในไต้หวัน ฮ่องกง และจีนตะวันออกเฉียงใต้ มีรูปแบบอื่นๆ เพิ่มเติม รวมถึง DCM (หรือที่รู้จักในชื่อ "Dark Spectre") ในปี 2008 ซึ่งรอดชีวิตมาได้ใน แคมเปญที่เป็นอันตรายจนถึงปี 2018
NSPX30 ซึ่งพัฒนาขึ้นในปีเดียวกันนั้นถือเป็นสุดยอดของการจารกรรมทางไซเบอร์ที่เกิดขึ้นก่อนหน้านั้น
เครื่องมือมัลติฟังก์ชั่นหลายขั้นตอนประกอบด้วยหยด ตัวติดตั้ง DLL ตัวโหลด ตัวจัดการและแบ็คดอร์ โดยสองตัวหลังมาพร้อมกับชุดปลั๊กอินเพิ่มเติมที่ถอดเปลี่ยนได้
ชื่อของเกมคือการขโมยข้อมูล ไม่ว่าจะเป็นข้อมูลเกี่ยวกับระบบหรือเครือข่าย ไฟล์และไดเร็กทอรี ข้อมูลประจำตัว การกดแป้นพิมพ์ screengrabs เสียง แชท และรายชื่อผู้ติดต่อจากแอปส่งข้อความยอดนิยม เช่น WeChat, Telegram, Skype, Tencent QQ, ฯลฯ — และอื่นๆ อีกมากมาย
ในบรรดาความสามารถอื่นๆ NSPX30 สามารถสร้าง Reverse Shell เพิ่มตัวเองลงในรายการที่อนุญาตในเครื่องมือป้องกันไวรัสของจีน และสกัดกั้นการรับส่งข้อมูลเครือข่าย ความสามารถหลังนี้ทำให้ Blackwood สามารถปกปิดโครงสร้างพื้นฐานคำสั่งและการควบคุมได้อย่างมีประสิทธิภาพ ซึ่งอาจมีส่วนทำให้ระยะยาวโดยไม่มีการตรวจจับ
แบ็คดอร์ที่ซ่อนอยู่ในการอัพเดตซอฟต์แวร์
เคล็ดลับที่ยิ่งใหญ่ที่สุดของ Blackwood ยังเป็นปริศนาที่ยิ่งใหญ่ที่สุดเป็นสองเท่าอีกด้วย
ในการทำให้เครื่องติดไวรัส NSPX30 จะไม่ใช้กลอุบายทั่วไปใดๆ เช่น ฟิชชิ่ง หน้าเว็บที่ติดไวรัส ฯลฯ แต่เมื่อโปรแกรมที่ถูกต้องตามกฎหมายบางโปรแกรมพยายามดาวน์โหลดการอัปเดตจากเซิร์ฟเวอร์องค์กรที่ถูกกฎหมายเท่าเทียมกันผ่านทาง HTTP ที่ไม่ได้เข้ารหัส Blackwood ก็จะแทรกแบ็คดอร์เข้าไปด้วย ลงในส่วนผสม
กล่าวอีกนัยหนึ่ง นี่ไม่ใช่การละเมิดห่วงโซ่อุปทานสไตล์ SolarWinds ของผู้ขาย ESET คาดการณ์ว่า Blackwood อาจใช้การฝังเครือข่ายแทน การปลูกถ่ายดังกล่าวอาจถูกจัดเก็บไว้ในอุปกรณ์ Edge ที่มีช่องโหว่ในเครือข่ายเป้าหมายตามที่เป็นอยู่ พบได้ทั่วไปในหมู่ APT อื่นๆ ของจีน.
ผลิตภัณฑ์ซอฟต์แวร์ที่ใช้ในการเผยแพร่ NSPX30 ได้แก่ WPS Office (ทางเลือกฟรียอดนิยมสำหรับ Microsoft และชุดซอฟต์แวร์สำนักงานของ Google), บริการส่งข้อความโต้ตอบแบบทันที QQ (พัฒนาโดย Tencent ยักษ์ใหญ่ด้านมัลติมีเดีย) และโปรแกรมแก้ไขวิธีการป้อนข้อมูล Sogou Pinyin (ตลาดของจีน - เครื่องมือพินอินชั้นนำที่มีผู้ใช้หลายร้อยล้านคน)
แล้วองค์กรต่างๆ จะสามารถป้องกันภัยคุกคามนี้ได้อย่างไร? ตรวจสอบให้แน่ใจว่าเครื่องมือป้องกันปลายทางของคุณบล็อก NSPX30 และให้ความสนใจกับการตรวจจับมัลแวร์ที่เกี่ยวข้องกับระบบซอฟต์แวร์ที่ถูกกฎหมาย แนะนำ Mathieu Tartare นักวิจัยมัลแวร์อาวุโสของ ESET “นอกจากนี้ ตรวจสอบและบล็อกการโจมตีของ AitM อย่างเหมาะสม เช่น ARP Poisoning สวิตช์สมัยใหม่มีคุณสมบัติที่ออกแบบมาเพื่อลดการโจมตีดังกล่าว” เขากล่าว การปิดใช้งาน IPv6 สามารถช่วยป้องกันการโจมตี IPv6 SLAAC ได้ เขากล่าวเสริม
“เครือข่ายที่มีการแบ่งส่วนอย่างดีจะช่วยได้เช่นกัน เนื่องจาก AitM จะส่งผลต่อเครือข่ายย่อยที่ดำเนินการเท่านั้น” Tartare กล่าว
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/application-security/chinese-apt-hides-backdoor-in-software-updates
- :มี
- :เป็น
- :ที่ไหน
- 2005
- 2008
- 2018
- 7
- 9
- a
- ความสามารถ
- เกี่ยวกับเรา
- อยากทำกิจกรรม
- เพิ่ม
- เพิ่มเติม
- เพิ่ม
- มีผลต่อ
- กับ
- อาคา
- ทั้งหมด
- ช่วยให้
- ด้วย
- ทางเลือก
- ในหมู่
- an
- นักวิเคราะห์
- และ
- โปรแกรมป้องกันไวรัส
- ใด
- ปพลิเคชัน
- APT
- AS
- At
- โจมตี
- การโจมตี
- ความพยายาม
- ความสนใจ
- เสียง
- กลับ
- ประตูหลัง
- แบ็ค
- BE
- รับ
- ก่อน
- กำลัง
- ปิดกั้น
- Blocks
- ช่องโหว่
- by
- ที่เรียกว่า
- มา
- แคมเปญ
- CAN
- ความสามารถ
- บาง
- โซ่
- สาธารณรัฐประชาชนจีน
- ชาวจีน
- มา
- บริษัท
- รวบรวม
- ประกอบด้วย
- ปกปิด
- งานที่เชื่อมต่อ
- ติดต่อเรา
- ส่วน
- ไทม์ไลน์การ
- หนังสือรับรอง
- ไซเบอร์
- มืด
- ข้อมูล
- การนัดหมาย
- DCM
- ทศวรรษ
- ทศวรรษที่ผ่านมา
- ได้รับการออกแบบ
- การตรวจพบ
- พัฒนา
- พัฒนาการ
- อุปกรณ์
- ไดเรกทอรี
- doesn
- คู่ผสม
- ดาวน์โหลด
- ที่เก่าแก่ที่สุด
- ed
- ขอบ
- บรรณาธิการ
- มีประสิทธิภาพ
- ง่าย
- ปลายทาง
- ชั้นเยี่ยม
- ทำให้มั่นใจ
- พอ ๆ กัน
- การจารกรรม
- สร้าง
- ฯลฯ
- คุณสมบัติ
- ไฟล์
- ชื่อจริง
- ดังต่อไปนี้
- สำหรับ
- ฟรี
- ราคาเริ่มต้นที่
- ต่อไป
- เกม
- ยักษ์
- ใหญ่ที่สุด
- บัญชีกลุ่ม
- ครึ่ง
- มี
- he
- ช่วย
- ซ่อนเร้น
- ประวัติดี
- อย่างสูง
- ฮ่องกง
- ฮ่องกง
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- ที่ http
- HTTPS
- ร้อย
- หลายร้อยล้าน
- ID
- in
- ประกอบด้วย
- รวมทั้ง
- บุคคล
- ข้อมูล
- โครงสร้างพื้นฐาน
- อินพุต
- ด่วน
- แทน
- เข้าไป
- ISN
- IT
- ITS
- ตัวเอง
- แจน
- ประเทศญี่ปุ่น
- ภาษาญี่ปุ่น
- jpg
- ที่รู้จักกัน
- ฮ่องกง
- ใหญ่
- ถูกกฎหมาย
- กดไลก์
- เชื้อสาย
- รายการ
- นาน
- เครื่อง
- ที่เป็นอันตราย
- มัลแวร์
- การผลิต
- เป็นผู้นำตลาด
- อาจ..
- ในขณะเดียวกัน
- ส่งข้อความ
- วิธี
- ไมโครซอฟท์
- อาจ
- ล้าน
- บรรเทา
- ผสม
- ทันสมัย
- การตรวจสอบ
- ข้อมูลเพิ่มเติม
- มัลติมีเดีย
- ความลึกลับ
- ชื่อ
- ที่มีชื่อ
- เกือบทั้งหมด
- เครือข่าย
- การรับส่งข้อมูลเครือข่าย
- เครือข่าย
- ใหม่
- นวนิยาย
- ตอนนี้
- of
- Office
- on
- เพียง
- or
- องค์กร
- อื่นๆ
- ของตนเอง
- ชำระ
- อย่างสมบูรณ์
- ดำเนินการ
- คน
- ฟิชชิ่ง
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- จุด
- นักการเมือง
- ยอดนิยม
- ก่อนหน้านี้
- ส่วนใหญ่
- ผลิตภัณฑ์
- โปรแกรม
- โครงการ
- อย่างถูกต้อง
- การป้องกัน
- ที่เกี่ยวข้อง
- การวิจัย
- วิจัยและพัฒนา
- นักวิจัย
- ย้อนกลับ
- วิ่ง
- s
- เดียวกัน
- พูดว่า
- ดูเหมือนว่า
- ระดับอาวุโส
- เซิร์ฟเวอร์
- บริการ
- ชุดอุปกรณ์
- เปลือก
- ตั้งแต่
- Skype
- ซอฟต์แวร์
- อย่างใด
- ซับซ้อน
- ความซับซ้อน
- ทิศตะวันออกเฉียงใต้
- สาง
- กระจาย
- เก็บไว้
- เครือข่ายย่อย
- อย่างเช่น
- ชุด
- จัดหาอุปกรณ์
- ห่วงโซ่อุปทาน
- รอดชีวิตมาได้
- ระบบ
- ระบบ
- ไต้หวัน
- พรสวรรค์
- เป้า
- เป้าหมาย
- เป้าหมาย
- Telegram
- Tencent
- กว่า
- ที่
- พื้นที่
- สหราชอาณาจักร
- การโจรกรรม
- ของพวกเขา
- แล้วก็
- พวกเขา
- สิ่ง
- นี้
- แต่?
- การคุกคาม
- ขัดขวาง
- ไปยัง
- เครื่องมือ
- เครื่องมือ
- เทรด
- การจราจร
- สอง
- ตามแบบฉบับ
- Uk
- มหาวิทยาลัย
- ไม่ทราบ
- จนกระทั่ง
- การปรับปรุง
- ใช้
- มือสอง
- ผู้ใช้
- การใช้
- ต่างๆ
- Ve
- ผู้ขาย
- ผ่านทาง
- ผู้ที่ตกเป็นเหยื่อ
- อ่อนแอ
- คือ
- ดี
- อะไร
- เมื่อ
- ว่า
- ที่
- ทั้งหมด
- จะ
- กับ
- ไม่มี
- ไม้
- คำ
- ปี
- ของคุณ
- ลมทะเล