APT Trung Quốc mới được ID ẩn Backdoor trong các bản cập nhật phần mềm

Kể từ năm 2018, một kẻ đe dọa Trung Quốc chưa từng được biết đến trước đây đã sử dụng một cửa sau mới trong các cuộc tấn công gián điệp mạng của kẻ thù ở giữa (AitM) nhằm vào các mục tiêu Trung Quốc và Nhật Bản.

Nạn nhân cụ thể của nhóm mà ESET đặt tên là “Blackwood” bao gồm một công ty sản xuất và thương mại lớn của Trung Quốc, văn phòng Trung Quốc của một công ty kỹ thuật và sản xuất Nhật Bản, các cá nhân ở Trung Quốc và Nhật Bản, và một người nói tiếng Trung Quốc có mối liên hệ với một trường đại học nghiên cứu danh tiếng ở Anh.

Blackwood hiện mới được ra mắt, hơn nửa thập kỷ kể từ hoạt động đầu tiên được biết đến, có thể chủ yếu là do hai điều: khả năng thực hiện dễ dàng. che giấu phần mềm độc hại trong các bản cập nhật cho các sản phẩm phần mềm phổ biến như WPS Office và bản thân phần mềm độc hại, một công cụ gián điệp cực kỳ tinh vi có tên “NSPX30”.

Gỗ đen và NSPX30

Trong khi đó, sự tinh tế của NSPX30 có được là nhờ gần hai thập kỷ nghiên cứu và phát triển.

Theo các nhà phân tích của ESET, NSPX30 xuất phát từ một dòng dài các cửa hậu có niên đại từ cái mà họ đặt tên sau khi chết là “Project Wood”, dường như được biên soạn lần đầu tiên vào ngày 9 tháng 2005 năm XNUMX.

Từ Project Wood — ở nhiều thời điểm, được sử dụng để nhắm mục tiêu vào một chính trị gia Hồng Kông, sau đó nhắm vào Đài Loan, Hồng Kông và đông nam Trung Quốc — đã xuất hiện các biến thể khác, bao gồm DCM năm 2008 (còn gọi là “Dark Spectre”), tồn tại trong các chiến dịch độc hại cho đến năm 2018.

NSPX30, được phát triển cùng năm đó, là đỉnh cao của tất cả các hoạt động gián điệp mạng trước đó.

Công cụ đa chức năng, nhiều tầng này bao gồm một trình nhỏ giọt, trình cài đặt DLL, trình tải, trình điều phối và cửa hậu, trong đó hai công cụ sau đi kèm với các bộ plug-in bổ sung, có thể hoán đổi của riêng chúng.

Tên của trò chơi là trộm cắp thông tin, cho dù đó là dữ liệu về hệ thống hay mạng, tệp và thư mục, thông tin xác thực, tổ hợp phím, ảnh chụp màn hình, âm thanh, cuộc trò chuyện và danh sách liên hệ từ các ứng dụng nhắn tin phổ biến - WeChat, Telegram, Skype, Tencent QQ, v.v. - và hơn thế nữa.

Trong số những tài năng khác, NSPX30 có thể thiết lập lớp vỏ đảo ngược, tự thêm chính nó vào danh sách cho phép trong các công cụ chống vi-rút của Trung Quốc và chặn lưu lượng truy cập mạng. Khả năng thứ hai này cho phép Blackwood che giấu hiệu quả cơ sở hạ tầng chỉ huy và kiểm soát của mình, điều này có thể đã góp phần vào hoạt động lâu dài của nó mà không bị phát hiện.

Cửa hậu ẩn trong bản cập nhật phần mềm

Tuy nhiên, mánh khóe lớn nhất của Blackwood cũng chính là bí ẩn lớn nhất của nó.

Để lây nhiễm NSPX30 vào máy, nó không sử dụng bất kỳ thủ thuật điển hình nào: lừa đảo, trang web bị nhiễm độc, v.v. Thay vào đó, khi một số chương trình hoàn toàn hợp pháp cố gắng tải xuống các bản cập nhật từ các máy chủ công ty hợp pháp tương đương thông qua HTTP không được mã hóa, Blackwood bằng cách nào đó cũng tiêm vào cửa sau của nó. vào hỗn hợp.

Nói cách khác, đây không phải là hành vi vi phạm chuỗi cung ứng kiểu SolarWinds của một nhà cung cấp. Thay vào đó, ESET suy đoán rằng Blackwood có thể đang sử dụng thiết bị cấy ghép mạng. Những thiết bị cấy ghép như vậy có thể được lưu trữ trong các thiết bị biên dễ bị tấn công trong các mạng mục tiêu, cũng như phổ biến trong số các APT khác của Trung Quốc.

Các sản phẩm phần mềm đang được sử dụng để truyền bá NSPX30 bao gồm WPS Office (một giải pháp thay thế miễn phí phổ biến cho bộ phần mềm văn phòng của Microsoft và Google), dịch vụ nhắn tin tức thời QQ (được phát triển bởi gã khổng lồ đa phương tiện Tencent) và trình soạn thảo phương thức nhập bính âm Sogou (thị trường Trung Quốc). công cụ bính âm hàng đầu với hàng trăm triệu người dùng).

Vậy làm thế nào các tổ chức có thể chống lại mối đe dọa này? Mathieu Tartare, nhà nghiên cứu phần mềm độc hại cấp cao tại ESET, khuyên rằng hãy đảm bảo rằng công cụ bảo vệ điểm cuối của bạn chặn NSPX30 và chú ý đến việc phát hiện phần mềm độc hại liên quan đến hệ thống phần mềm hợp pháp. Ông nói: “Ngoài ra, hãy giám sát và ngăn chặn đúng cách các cuộc tấn công AitM như đầu độc ARP — các thiết bị chuyển mạch hiện đại có các tính năng được thiết kế để giảm thiểu các cuộc tấn công như vậy”. Ông cho biết thêm, việc vô hiệu hóa IPv6 có thể giúp ngăn chặn cuộc tấn công SLAAC của IPv6.

Tartare nói: “Một mạng được phân đoạn tốt cũng sẽ hữu ích vì AitM sẽ chỉ ảnh hưởng đến mạng con nơi nó được thực hiện”.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/application-security/chinese-apt-hides-backdoor-in-software-updates