新识别的中文 APT 在软件更新中隐藏后门

自 2018 年以来，一个以前不为人知的中国威胁行为者一直在使用一种新颖的后门对中国和日本目标进行中间对手 (AitM) 网络间谍攻击。

具体受害人 ESET 命名为“Blackwood”的组 其中包括一家大型中国制造和贸易公司、一家日本工程和制造公司的中国办事处、中国和日本的个人以及一位与英国一所知名研究型大学有联系的中文人士。

布莱克伍德现在才被曝光，距其最早的已知活动已有五年多了，这主要归因于两件事：它能够毫不费力地 在流行软件产品的更新中隐藏恶意软件 像 WPS Office 以及恶意软件本身，这是一种名为“NSPX30”的高度复杂的间谍工具。

布莱克伍德和 NSPX30

与此同时，NSPX30 的复杂性可以归功于近二十年的研究和开发。

根据 ESET 分析师的说法，NSPX30 源于一系列后门，其历史可以追溯到他们死后命名为“Project Wood”的项目，该项目似乎首次编译于 9 年 2005 月 XNUMX 日。

从 Project Wood 开始，该计划曾多次被用来针对一名香港政客，后来又针对台湾、香港和中国东南部地区，因此出现了更多变体，包括 2008 年的 DCM（又名“黑暗幽灵”），该计划在 2018 年得以幸存。 XNUMX 年之前的恶意活动。

同年开发的 NSPX30 是之前所有网络间谍活动的顶峰。

这个多阶段的多功能工具由一个 dropper、一个 DLL 安装程序、加载程序、协调器和后门组成，后两者带有自己的一组附加的、可交换的插件。

这个游戏的名称是信息盗窃，无论是有关系统或网络、文件和目录、凭据、击键、屏幕截图、音频、聊天以及来自流行消息应用程序（微信、Telegram、Skype、腾讯QQ、等等——还有更多。

除其他功能外，NSPX30 还可以建立反向 shell，将自身添加到中国防病毒工具的白名单中，并拦截网络流量。后一种能力使 Blackwood 能够有效隐藏其指挥和控制基础设施，这可能有助于其长期运行而不被发现。

软件更新中隐藏的后门

然而，布莱克伍德最伟大的把戏同时也是其最大的谜团。

为了使用 NSPX30 感染计算机，它不会使用任何典型的技巧：网络钓鱼、受感染的网页等。相反，当某些完全合法的程序尝试通过未加密的 HTTP 从同样合法的企业服务器下载更新时，Blackwood 也会以某种方式注入其后门混合。

换句话说，这并不是 SolarWinds 式的供应商供应链违规行为。相反，ESET 推测 Blackwood 可能正在使用网络植入。此类植入程序可能存储在目标网络中易受攻击的边缘设备中，就像 在其他中国 APT 中很常见.

用于传播NSPX30的软件产品包括WPS Office（一种流行的免费替代微软和谷歌办公软件套件的软件）、QQ即时通讯服务（由多媒体巨头腾讯开发）和搜狗拼音输入法编辑器（中国市场-领先的拼音工具，拥有数亿用户）。

那么组织如何防御这种威胁呢？ ESET 高级恶意软件研究员 Mathieu Tartare 建议，确保您的端点保护工具阻止 NSPX30，并注意与合法软件系统相关的恶意软件检测。 “此外，正确监控和阻止 AitM 攻击（例如 ARP 中毒）——现代交换机具有旨在减轻此类攻击的功能，”他说。他补充道，禁用 IPv6 有助于阻止 IPv6 SLAAC 攻击。

“分段良好的网络也会有所帮助，因为 AitM 只会影响执行它的子网，”Tartare 说。

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 柏拉图健康。 生物技术和临床试验情报。 访问这里。
• Sumber: https://www.darkreading.com/application-security/chinese-apt-hides-backdoor-in-software-updates