Kể từ năm 2018, một kẻ đe dọa Trung Quốc chưa từng được biết đến trước đây đã sử dụng một cửa sau mới trong các cuộc tấn công gián điệp mạng của kẻ thù ở giữa (AitM) nhằm vào các mục tiêu Trung Quốc và Nhật Bản.
Nạn nhân cụ thể của nhóm mà ESET đặt tên là “Blackwood” bao gồm một công ty sản xuất và thương mại lớn của Trung Quốc, văn phòng Trung Quốc của một công ty kỹ thuật và sản xuất Nhật Bản, các cá nhân ở Trung Quốc và Nhật Bản, và một người nói tiếng Trung Quốc có mối liên hệ với một trường đại học nghiên cứu danh tiếng ở Anh.
Blackwood hiện mới được ra mắt, hơn nửa thập kỷ kể từ hoạt động đầu tiên được biết đến, có thể chủ yếu là do hai điều: khả năng thực hiện dễ dàng. che giấu phần mềm độc hại trong các bản cập nhật cho các sản phẩm phần mềm phổ biến như WPS Office và bản thân phần mềm độc hại, một công cụ gián điệp cực kỳ tinh vi có tên “NSPX30”.
Gỗ đen và NSPX30
Trong khi đó, sự tinh tế của NSPX30 có được là nhờ gần hai thập kỷ nghiên cứu và phát triển.
Theo các nhà phân tích của ESET, NSPX30 xuất phát từ một dòng dài các cửa hậu có niên đại từ cái mà họ đặt tên sau khi chết là “Project Wood”, dường như được biên soạn lần đầu tiên vào ngày 9 tháng 2005 năm XNUMX.
Từ Project Wood — ở nhiều thời điểm, được sử dụng để nhắm mục tiêu vào một chính trị gia Hồng Kông, sau đó nhắm vào Đài Loan, Hồng Kông và đông nam Trung Quốc — đã xuất hiện các biến thể khác, bao gồm DCM năm 2008 (còn gọi là “Dark Spectre”), tồn tại trong các chiến dịch độc hại cho đến năm 2018.
NSPX30, được phát triển cùng năm đó, là đỉnh cao của tất cả các hoạt động gián điệp mạng trước đó.
Công cụ đa chức năng, nhiều tầng này bao gồm một trình nhỏ giọt, trình cài đặt DLL, trình tải, trình điều phối và cửa hậu, trong đó hai công cụ sau đi kèm với các bộ plug-in bổ sung, có thể hoán đổi của riêng chúng.
Tên của trò chơi là trộm cắp thông tin, cho dù đó là dữ liệu về hệ thống hay mạng, tệp và thư mục, thông tin xác thực, tổ hợp phím, ảnh chụp màn hình, âm thanh, cuộc trò chuyện và danh sách liên hệ từ các ứng dụng nhắn tin phổ biến - WeChat, Telegram, Skype, Tencent QQ, v.v. - và hơn thế nữa.
Trong số những tài năng khác, NSPX30 có thể thiết lập lớp vỏ đảo ngược, tự thêm chính nó vào danh sách cho phép trong các công cụ chống vi-rút của Trung Quốc và chặn lưu lượng truy cập mạng. Khả năng thứ hai này cho phép Blackwood che giấu hiệu quả cơ sở hạ tầng chỉ huy và kiểm soát của mình, điều này có thể đã góp phần vào hoạt động lâu dài của nó mà không bị phát hiện.
Cửa hậu ẩn trong bản cập nhật phần mềm
Tuy nhiên, mánh khóe lớn nhất của Blackwood cũng chính là bí ẩn lớn nhất của nó.
Để lây nhiễm NSPX30 vào máy, nó không sử dụng bất kỳ thủ thuật điển hình nào: lừa đảo, trang web bị nhiễm độc, v.v. Thay vào đó, khi một số chương trình hoàn toàn hợp pháp cố gắng tải xuống các bản cập nhật từ các máy chủ công ty hợp pháp tương đương thông qua HTTP không được mã hóa, Blackwood bằng cách nào đó cũng tiêm vào cửa sau của nó. vào hỗn hợp.
Nói cách khác, đây không phải là hành vi vi phạm chuỗi cung ứng kiểu SolarWinds của một nhà cung cấp. Thay vào đó, ESET suy đoán rằng Blackwood có thể đang sử dụng thiết bị cấy ghép mạng. Những thiết bị cấy ghép như vậy có thể được lưu trữ trong các thiết bị biên dễ bị tấn công trong các mạng mục tiêu, cũng như phổ biến trong số các APT khác của Trung Quốc.
Các sản phẩm phần mềm đang được sử dụng để truyền bá NSPX30 bao gồm WPS Office (một giải pháp thay thế miễn phí phổ biến cho bộ phần mềm văn phòng của Microsoft và Google), dịch vụ nhắn tin tức thời QQ (được phát triển bởi gã khổng lồ đa phương tiện Tencent) và trình soạn thảo phương thức nhập bính âm Sogou (thị trường Trung Quốc). công cụ bính âm hàng đầu với hàng trăm triệu người dùng).
Vậy làm thế nào các tổ chức có thể chống lại mối đe dọa này? Mathieu Tartare, nhà nghiên cứu phần mềm độc hại cấp cao tại ESET, khuyên rằng hãy đảm bảo rằng công cụ bảo vệ điểm cuối của bạn chặn NSPX30 và chú ý đến việc phát hiện phần mềm độc hại liên quan đến hệ thống phần mềm hợp pháp. Ông nói: “Ngoài ra, hãy giám sát và ngăn chặn đúng cách các cuộc tấn công AitM như đầu độc ARP — các thiết bị chuyển mạch hiện đại có các tính năng được thiết kế để giảm thiểu các cuộc tấn công như vậy”. Ông cho biết thêm, việc vô hiệu hóa IPv6 có thể giúp ngăn chặn cuộc tấn công SLAAC của IPv6.
Tartare nói: “Một mạng được phân đoạn tốt cũng sẽ hữu ích vì AitM sẽ chỉ ảnh hưởng đến mạng con nơi nó được thực hiện”.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/application-security/chinese-apt-hides-backdoor-in-software-updates
- : có
- :là
- :Ở đâu
- 2005
- 2008
- 2018
- 7
- 9
- a
- có khả năng
- Giới thiệu
- hoạt động
- thêm vào
- thêm vào
- Thêm
- ảnh hưởng đến
- chống lại
- aka
- Tất cả
- cho phép
- Ngoài ra
- thay thế
- trong số
- an
- Các nhà phân tích
- và
- antivirus
- bất kì
- ứng dụng
- APT
- AS
- At
- tấn công
- Các cuộc tấn công
- nỗ lực
- sự chú ý
- âm thanh
- trở lại
- cửa sau
- Backdoors
- BE
- được
- trước
- được
- Chặn
- Khối
- vi phạm
- by
- gọi là
- đến
- Chiến dịch
- CAN
- khả năng
- nhất định
- chuỗi
- Trung Quốc
- Trung Quốc
- đến
- công ty
- biên soạn
- Bao gồm
- giấu
- kết nối
- liên lạc
- đóng góp
- Doanh nghiệp
- Credentials
- không gian mạng
- tối
- dữ liệu
- hò
- DCM
- thập kỷ
- thập kỷ
- thiết kế
- Phát hiện
- phát triển
- Phát triển
- Thiết bị (Devices)
- thư mục
- doesn
- Tăng gấp đôi
- tải về
- sớm nhất
- ed
- Cạnh
- biên tập viên
- hiệu quả
- dễ dàng
- Điểm cuối
- Kỹ Sư
- đảm bảo
- như nhau
- gián điệp
- thành lập
- vv
- Tính năng
- Các tập tin
- Tên
- sau
- Trong
- Miễn phí
- từ
- xa hơn
- trò chơi
- khổng lồ
- lớn nhất
- Nhóm
- Một nửa
- Có
- he
- giúp đỡ
- Thành viên ẩn danh
- tầm cỡ
- cao
- Hồng
- Hồng Kông
- Độ đáng tin của
- http
- HTTPS
- Hàng trăm
- hàng trăm triệu
- ID
- in
- bao gồm
- Bao gồm
- các cá nhân
- thông tin
- Cơ sở hạ tầng
- đầu vào
- ngay lập tức
- thay vì
- trong
- isn
- IT
- ITS
- chính nó
- Tháng
- Nhật Bản
- Tiếng Nhật
- jpg
- nổi tiếng
- Kông
- lớn
- hợp pháp
- Lượt thích
- dòng
- Chức năng
- dài
- Máy móc
- độc hại
- phần mềm độc hại
- sản xuất
- dẫn đầu thị trường
- Có thể..
- Trong khi đó
- tin nhắn
- phương pháp
- microsoft
- Might
- hàng triệu
- Giảm nhẹ
- pha
- hiện đại
- Màn Hình
- chi tiết
- đa phương tiện
- Trinh thám
- tên
- Được đặt theo tên
- gần
- mạng
- lưu lượng mạng
- mạng
- mới
- tiểu thuyết
- tại
- of
- Office
- on
- có thể
- or
- tổ chức
- Nền tảng khác
- riêng
- Trả
- hoàn hảo
- thực hiện
- người
- Lừa đảo
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- điểm
- chính trị
- Phổ biến
- trước đây
- chủ yếu
- Sản phẩm
- Khóa Học
- dự án
- đúng
- bảo vệ
- liên quan
- nghiên cứu
- nghiên cứu và phát triển
- nhà nghiên cứu
- đảo ngược
- chạy
- s
- tương tự
- nói
- có vẻ
- cao cấp
- Các máy chủ
- dịch vụ
- bộ
- Shell
- kể từ khi
- Skype
- Phần mềm
- bằng cách nào đó
- tinh vi
- sự tinh tế
- Đông Nam
- bóng ma
- lan tràn
- lưu trữ
- subnet
- như vậy
- bộ
- cung cấp
- chuỗi cung ứng
- Sống sót
- hệ thống
- hệ thống
- Đài Loan
- tài năng
- Mục tiêu
- nhắm mục tiêu
- mục tiêu
- Telegram
- Tencent
- hơn
- việc này
- Sản phẩm
- Anh
- trộm cắp
- cung cấp their dịch
- sau đó
- họ
- điều
- điều này
- Tuy nhiên?
- mối đe dọa
- cản trở
- đến
- công cụ
- công cụ
- Giao dịch
- giao thông
- hai
- điển hình
- Uk
- trường đại học
- không xác định
- cho đến khi
- Cập nhật
- sử dụng
- đã sử dụng
- Người sử dụng
- sử dụng
- khác nhau
- Ve
- nhà cung cấp
- thông qua
- nạn nhân
- Dễ bị tổn thương
- là
- TỐT
- Điều gì
- khi nào
- liệu
- cái nào
- toàn bộ
- sẽ
- với
- không có
- gỗ
- từ
- năm
- trên màn hình
- zephyrnet