APT จีน ID ใหม่ซ่อนแบ็คดอร์ในการอัพเดตซอฟต์แวร์

เผยแพร่ซ้ำโดยเพลโต

ผู้ติดตาม: 0

ตั้งแต่ปี 2018 เป็นต้นมา ผู้แสดงภัยคุกคามชาวจีนที่ไม่รู้จักมาก่อนหน้านี้ได้ใช้แบ็คดอร์ใหม่ในการโจมตีจารกรรมทางไซเบอร์แบบศัตรูกลาง (AitM) ต่อเป้าหมายจีนและญี่ปุ่น

เหยื่อเฉพาะของ กลุ่มที่ ESET ตั้งชื่อให้ว่า “Blackwood” รวมถึงบริษัทการผลิตและการค้าจีนขนาดใหญ่ สำนักงานในจีนของบริษัทวิศวกรรมและการผลิตของญี่ปุ่น บุคคลในจีนและญี่ปุ่น และบุคคลที่พูดภาษาจีนที่เกี่ยวข้องกับมหาวิทยาลัยวิจัยที่มีชื่อเสียงในสหราชอาณาจักร

แบล็ควูดเพิ่งถูกปล่อยออกมาในขณะนี้ เป็นเวลากว่าครึ่งทศวรรษนับตั้งแต่มีกิจกรรมแรกสุดที่รู้จัก มีสาเหตุหลักมาจากสองสิ่ง: ความสามารถในการใช้งานได้อย่างง่ายดาย ปกปิดมัลแวร์ในการอัพเดตสำหรับผลิตภัณฑ์ซอฟต์แวร์ยอดนิยม เช่น WPS Office และตัวมัลแวร์ ซึ่งเป็นเครื่องมือจารกรรมที่มีความซับซ้อนสูงที่เรียกว่า “NSPX30”

แบล็ควูดและ NSPX30

ความซับซ้อนของ NSPX30 เป็นผลมาจากการวิจัยและพัฒนาเกือบสองทศวรรษ

ตามที่นักวิเคราะห์ของ ESET NSPX30 ติดตามมาจากแบ็คดอร์ที่มีมายาวนาน ย้อนกลับไปถึงสิ่งที่พวกเขาได้ตั้งชื่อให้ภายหลังมรณกรรมว่า “Project Wood” ซึ่งดูเหมือนว่าจะรวบรวมครั้งแรกเมื่อวันที่ 9 มกราคม 2005

จากโปรเจ็กต์วูด ซึ่งในหลายจุดเคยใช้ในการกำหนดเป้าหมายนักการเมืองฮ่องกง จากนั้นจึงกำหนดเป้าหมายในไต้หวัน ฮ่องกง และจีนตะวันออกเฉียงใต้ มีรูปแบบอื่นๆ เพิ่มเติม รวมถึง DCM (หรือที่รู้จักในชื่อ "Dark Spectre") ในปี 2008 ซึ่งรอดชีวิตมาได้ใน แคมเปญที่เป็นอันตรายจนถึงปี 2018

NSPX30 ซึ่งพัฒนาขึ้นในปีเดียวกันนั้นถือเป็นสุดยอดของการจารกรรมทางไซเบอร์ที่เกิดขึ้นก่อนหน้านั้น

เครื่องมือมัลติฟังก์ชั่นหลายขั้นตอนประกอบด้วยหยด ตัวติดตั้ง DLL ตัวโหลด ตัวจัดการและแบ็คดอร์ โดยสองตัวหลังมาพร้อมกับชุดปลั๊กอินเพิ่มเติมที่ถอดเปลี่ยนได้

ชื่อของเกมคือการขโมยข้อมูล ไม่ว่าจะเป็นข้อมูลเกี่ยวกับระบบหรือเครือข่าย ไฟล์และไดเร็กทอรี ข้อมูลประจำตัว การกดแป้นพิมพ์ screengrabs เสียง แชท และรายชื่อผู้ติดต่อจากแอปส่งข้อความยอดนิยม เช่น WeChat, Telegram, Skype, Tencent QQ, ฯลฯ — และอื่นๆ อีกมากมาย

ในบรรดาความสามารถอื่นๆ NSPX30 สามารถสร้าง Reverse Shell เพิ่มตัวเองลงในรายการที่อนุญาตในเครื่องมือป้องกันไวรัสของจีน และสกัดกั้นการรับส่งข้อมูลเครือข่าย ความสามารถหลังนี้ทำให้ Blackwood สามารถปกปิดโครงสร้างพื้นฐานคำสั่งและการควบคุมได้อย่างมีประสิทธิภาพ ซึ่งอาจมีส่วนทำให้ระยะยาวโดยไม่มีการตรวจจับ

แบ็คดอร์ที่ซ่อนอยู่ในการอัพเดตซอฟต์แวร์

เคล็ดลับที่ยิ่งใหญ่ที่สุดของ Blackwood ยังเป็นปริศนาที่ยิ่งใหญ่ที่สุดเป็นสองเท่าอีกด้วย

ในการทำให้เครื่องติดไวรัส NSPX30 จะไม่ใช้กลอุบายทั่วไปใดๆ เช่น ฟิชชิ่ง หน้าเว็บที่ติดไวรัส ฯลฯ แต่เมื่อโปรแกรมที่ถูกต้องตามกฎหมายบางโปรแกรมพยายามดาวน์โหลดการอัปเดตจากเซิร์ฟเวอร์องค์กรที่ถูกกฎหมายเท่าเทียมกันผ่านทาง HTTP ที่ไม่ได้เข้ารหัส Blackwood ก็จะแทรกแบ็คดอร์เข้าไปด้วย ลงในส่วนผสม

กล่าวอีกนัยหนึ่ง นี่ไม่ใช่การละเมิดห่วงโซ่อุปทานสไตล์ SolarWinds ของผู้ขาย ESET คาดการณ์ว่า Blackwood อาจใช้การฝังเครือข่ายแทน การปลูกถ่ายดังกล่าวอาจถูกจัดเก็บไว้ในอุปกรณ์ Edge ที่มีช่องโหว่ในเครือข่ายเป้าหมายตามที่เป็นอยู่ พบได้ทั่วไปในหมู่ APT อื่นๆ ของจีน.

ผลิตภัณฑ์ซอฟต์แวร์ที่ใช้ในการเผยแพร่ NSPX30 ได้แก่ WPS Office (ทางเลือกฟรียอดนิยมสำหรับ Microsoft และชุดซอฟต์แวร์สำนักงานของ Google), บริการส่งข้อความโต้ตอบแบบทันที QQ (พัฒนาโดย Tencent ยักษ์ใหญ่ด้านมัลติมีเดีย) และโปรแกรมแก้ไขวิธีการป้อนข้อมูล Sogou Pinyin (ตลาดของจีน - เครื่องมือพินอินชั้นนำที่มีผู้ใช้หลายร้อยล้านคน)

แล้วองค์กรต่างๆ จะสามารถป้องกันภัยคุกคามนี้ได้อย่างไร? ตรวจสอบให้แน่ใจว่าเครื่องมือป้องกันปลายทางของคุณบล็อก NSPX30 และให้ความสนใจกับการตรวจจับมัลแวร์ที่เกี่ยวข้องกับระบบซอฟต์แวร์ที่ถูกกฎหมาย แนะนำ Mathieu Tartare นักวิจัยมัลแวร์อาวุโสของ ESET “นอกจากนี้ ตรวจสอบและบล็อกการโจมตีของ AitM อย่างเหมาะสม เช่น ARP Poisoning สวิตช์สมัยใหม่มีคุณสมบัติที่ออกแบบมาเพื่อลดการโจมตีดังกล่าว” เขากล่าว การปิดใช้งาน IPv6 สามารถช่วยป้องกันการโจมตี IPv6 SLAAC ได้ เขากล่าวเสริม

“เครือข่ายที่มีการแบ่งส่วนอย่างดีจะช่วยได้เช่นกัน เนื่องจาก AitM จะส่งผลต่อเครือข่ายย่อยที่ดำเนินการเท่านั้น” Tartare กล่าว