Нещодавно ідентифікований китайський APT приховує бекдор в оновленнях програмного забезпечення

З 2018 року раніше невідомий китайський загрозливий агент використовує новий бекдор у кібершпигунських атаках противника посередині (AitM) проти китайських і японських цілей.

Конкретні жертви група, яку ESET назвала «Blackwood» включають велику китайську виробничу та торгову компанію, китайський офіс японської інженерної та виробничої компанії, фізичних осіб у Китаї та Японії, а також китайськомовну особу, пов’язану з відомим дослідницьким університетом у Великобританії.

Те, що Blackwood виходить лише зараз, більше ніж півдесяти років з моменту його першої відомої діяльності, можна пояснити насамперед двома речами: його здатністю без зусиль приховувати шкідливі програми в оновленнях для популярних програмних продуктів як-от WPS Office, і саме зловмисне програмне забезпечення, надзвичайно складний інструмент шпигунства під назвою «NSPX30».

Blackwood і NSPX30

У той же час витонченість NSPX30 можна пояснити майже двома десятиліттями досліджень і розробок.

За словами аналітиків ESET, NSPX30 є наслідком довгої лінії бекдорів, що бере початок від того, що вони посмертно назвали «Project Wood», імовірно, вперше зібраного ще 9 січня 2005 року.

Від Project Wood, який у різні моменти використовувався для нападу на гонконгського політика, а потім на Тайвані, Гонконгу та південно-східному Китаї, з’явилися інші варіанти, зокрема DCM 2008 року (він же «Dark Spectre»), який зберігся в шкідливих кампаній до 2018 року.

NSPX30, розроблений того ж року, є апогеєм усього кібершпигунства, яке було до нього.

Багатоступеневий, багатофункціональний інструмент складається з дроппера, інсталятора DLL, завантажувачів, оркестратора та бекдора, причому останні два мають власні набори додаткових плагінів, які можна замінювати.

Назва гри — крадіжка інформації, будь то дані про систему чи мережу, файли та каталоги, облікові дані, натискання клавіш, знімки екрана, аудіо, чати та списки контактів із популярних програм обміну повідомленнями — WeChat, Telegram, Skype, Tencent QQ, тощо — і більше.

Серед інших можливостей NSPX30 може створювати зворотну оболонку, додавати себе до білих списків у китайських антивірусних інструментах і перехоплювати мережевий трафік. Ця остання можливість дозволяє Blackwood ефективно приховувати свою інфраструктуру командування та контролю, яка, можливо, сприяла тому, що вона довго не була виявлена.

Бекдор, прихований в оновленнях програмного забезпечення

Однак найбільший трюк Блеквуда водночас є його найбільшою таємницею.

Щоб заразити комп’ютери за допомогою NSPX30, він не використовує жодних типових трюків: фішинг, заражені веб-сторінки тощо. Натомість, коли певні абсолютно законні програми намагаються завантажити оновлення з таких же законних корпоративних серверів через незашифрований HTTP, Blackwood якимось чином також впроваджує свій бекдор. в суміш.

Іншими словами, це не порушення постачальником ланцюжка поставок у стилі SolarWinds. Натомість ESET припускає, що Blackwood може використовувати мережеві імплантати. Такі імплантати можуть зберігатися в уразливих периферійних пристроях у цільових мережах, як є поширений серед інших китайських APT.

Програмні продукти, які використовуються для поширення NSPX30, включають WPS Office (популярну безкоштовну альтернативу офісному програмному забезпеченню Microsoft і Google), службу обміну миттєвими повідомленнями QQ (розроблену мультимедійним гігантом Tencent) і редактор методів введення Sogou Pinyin (китайський ринок). провідний інструмент піньінь із сотнями мільйонів користувачів).

Отже, як організації можуть захиститися від цієї загрози? Переконайтеся, що ваш інструмент захисту кінцевої точки блокує NSPX30, і зверніть увагу на виявлення зловмисного програмного забезпечення, пов’язаного з законними програмними системами, радить Матьє Тартаре, старший дослідник зловмисного програмного забезпечення ESET. «Крім того, належним чином відстежуйте та блокуйте атаки AitM, такі як отруєння ARP — сучасні комутатори мають функції, призначені для пом’якшення таких атак», — каже він. Вимкнення IPv6 може допомогти запобігти атаці IPv6 SLAAC, додає він.

«Допоможе також добре сегментована мережа, оскільки AitM впливатиме лише на підмережу, у якій він виконується», — говорить Тартаре.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/application-security/chinese-apt-hides-backdoor-in-software-updates