З 2018 року раніше невідомий китайський загрозливий агент використовує новий бекдор у кібершпигунських атаках противника посередині (AitM) проти китайських і японських цілей.
Конкретні жертви група, яку ESET назвала «Blackwood» включають велику китайську виробничу та торгову компанію, китайський офіс японської інженерної та виробничої компанії, фізичних осіб у Китаї та Японії, а також китайськомовну особу, пов’язану з відомим дослідницьким університетом у Великобританії.
Те, що Blackwood виходить лише зараз, більше ніж півдесяти років з моменту його першої відомої діяльності, можна пояснити насамперед двома речами: його здатністю без зусиль приховувати шкідливі програми в оновленнях для популярних програмних продуктів як-от WPS Office, і саме зловмисне програмне забезпечення, надзвичайно складний інструмент шпигунства під назвою «NSPX30».
Blackwood і NSPX30
У той же час витонченість NSPX30 можна пояснити майже двома десятиліттями досліджень і розробок.
За словами аналітиків ESET, NSPX30 є наслідком довгої лінії бекдорів, що бере початок від того, що вони посмертно назвали «Project Wood», імовірно, вперше зібраного ще 9 січня 2005 року.
Від Project Wood, який у різні моменти використовувався для нападу на гонконгського політика, а потім на Тайвані, Гонконгу та південно-східному Китаї, з’явилися інші варіанти, зокрема DCM 2008 року (він же «Dark Spectre»), який зберігся в шкідливих кампаній до 2018 року.
NSPX30, розроблений того ж року, є апогеєм усього кібершпигунства, яке було до нього.
Багатоступеневий, багатофункціональний інструмент складається з дроппера, інсталятора DLL, завантажувачів, оркестратора та бекдора, причому останні два мають власні набори додаткових плагінів, які можна замінювати.
Назва гри — крадіжка інформації, будь то дані про систему чи мережу, файли та каталоги, облікові дані, натискання клавіш, знімки екрана, аудіо, чати та списки контактів із популярних програм обміну повідомленнями — WeChat, Telegram, Skype, Tencent QQ, тощо — і більше.
Серед інших можливостей NSPX30 може створювати зворотну оболонку, додавати себе до білих списків у китайських антивірусних інструментах і перехоплювати мережевий трафік. Ця остання можливість дозволяє Blackwood ефективно приховувати свою інфраструктуру командування та контролю, яка, можливо, сприяла тому, що вона довго не була виявлена.
Бекдор, прихований в оновленнях програмного забезпечення
Однак найбільший трюк Блеквуда водночас є його найбільшою таємницею.
Щоб заразити комп’ютери за допомогою NSPX30, він не використовує жодних типових трюків: фішинг, заражені веб-сторінки тощо. Натомість, коли певні абсолютно законні програми намагаються завантажити оновлення з таких же законних корпоративних серверів через незашифрований HTTP, Blackwood якимось чином також впроваджує свій бекдор. в суміш.
Іншими словами, це не порушення постачальником ланцюжка поставок у стилі SolarWinds. Натомість ESET припускає, що Blackwood може використовувати мережеві імплантати. Такі імплантати можуть зберігатися в уразливих периферійних пристроях у цільових мережах, як є поширений серед інших китайських APT.
Програмні продукти, які використовуються для поширення NSPX30, включають WPS Office (популярну безкоштовну альтернативу офісному програмному забезпеченню Microsoft і Google), службу обміну миттєвими повідомленнями QQ (розроблену мультимедійним гігантом Tencent) і редактор методів введення Sogou Pinyin (китайський ринок). провідний інструмент піньінь із сотнями мільйонів користувачів).
Отже, як організації можуть захиститися від цієї загрози? Переконайтеся, що ваш інструмент захисту кінцевої точки блокує NSPX30, і зверніть увагу на виявлення зловмисного програмного забезпечення, пов’язаного з законними програмними системами, радить Матьє Тартаре, старший дослідник зловмисного програмного забезпечення ESET. «Крім того, належним чином відстежуйте та блокуйте атаки AitM, такі як отруєння ARP — сучасні комутатори мають функції, призначені для пом’якшення таких атак», — каже він. Вимкнення IPv6 може допомогти запобігти атаці IPv6 SLAAC, додає він.
«Допоможе також добре сегментована мережа, оскільки AitM впливатиме лише на підмережу, у якій він виконується», — говорить Тартаре.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/application-security/chinese-apt-hides-backdoor-in-software-updates
- : має
- :є
- :де
- 2005
- 2008
- 2018
- 7
- 9
- a
- здатність
- МЕНЮ
- діяльність
- додавати
- Додатковий
- Додає
- впливати
- проти
- ака
- ВСІ
- дозволяє
- Також
- альтернатива
- серед
- an
- аналітики
- та
- антивірус
- будь-який
- додатка
- APT
- AS
- At
- атака
- нападки
- спроба
- увагу
- аудіо
- назад
- закулісний
- бекдори
- BE
- було
- перед тим
- буття
- Блокувати
- блоки
- порушення
- by
- званий
- прийшов
- Кампанії
- CAN
- можливості
- певний
- ланцюг
- Китай
- китайський
- майбутній
- компанія
- скомпільований
- У складі
- приховувати
- підключений
- контакт
- внесок
- Корпоративний
- Повноваження
- кібер-
- темно
- дані
- датування
- DCM
- десятиліття
- десятиліття
- призначений
- Виявлення
- розвиненою
- розробка
- прилади
- каталоги
- байдуже
- Парний
- скачати
- раніше
- ed
- край
- редактор
- фактично
- легко
- Кінцева точка
- Машинобудування
- забезпечувати
- однаково
- шпигунство
- встановити
- і т.д.
- риси
- Файли
- Перший
- слідує
- для
- Безкоштовна
- від
- далі
- гра
- гігант
- найбільший
- Group
- Половина
- Мати
- he
- допомога
- прихований
- гучний
- дуже
- Гонконг
- Гонконг
- Як
- HTTP
- HTTPS
- Сотні
- сотні мільйонів
- ID
- in
- включати
- У тому числі
- осіб
- інформація
- Інфраструктура
- вхід
- мить
- замість
- в
- isn
- IT
- ЙОГО
- сам
- січень
- Japan
- японський
- JPG
- відомий
- Гонконг
- великий
- законний
- як
- родовід
- списки
- Довго
- Машинки для перманенту
- malicious
- шкідливих програм
- виробництво
- провідний на ринку
- Може..
- Між тим
- обмін повідомленнями
- метод
- Microsoft
- може бути
- мільйони
- Пом'якшити
- змішувати
- сучасний
- монітор
- більше
- мультимедіа
- Таємниця
- ім'я
- Названий
- майже
- мережу
- мережевий трафік
- мереж
- нещодавно
- роман
- зараз
- of
- Office
- on
- тільки
- or
- організації
- Інше
- власний
- Платити
- відмінно
- виконується
- людина
- phishing
- plato
- Інформація про дані Платона
- PlatoData
- точок
- політик
- популярний
- раніше
- в першу чергу
- Продукти
- програми
- проект
- правильно
- захист
- пов'язаний
- дослідження
- дослідження і розробка
- дослідник
- зворотний
- прогін
- s
- то ж
- говорить
- мабуть
- старший
- Сервери
- обслуговування
- набори
- Склад
- з
- Skype
- Софтвер
- якось
- складний
- витонченість
- на південний схід
- привид
- поширення
- зберігати
- підмережі
- такі
- набір
- поставка
- ланцюжка поставок
- Вижили
- система
- Systems
- Taiwan
- таланти
- Мета
- цільове
- цілі
- Telegram
- Tencent
- ніж
- Що
- Команда
- Великобританія
- крадіжка
- їх
- потім
- вони
- речі
- це
- хоча?
- загроза
- зірвати
- до
- інструмент
- інструменти
- торгові площі
- трафік
- два
- типовий
- Uk
- університет
- невідомий
- до
- Updates
- використання
- використовуваний
- користувачі
- використання
- різний
- Ve
- продавець
- через
- жертви
- Вразливий
- було
- ДОБРЕ
- Що
- коли
- Чи
- який
- всі
- волі
- з
- без
- дерево
- слова
- рік
- вашу
- зефірнет