Daha önce bilinmeyen bir Çinli tehdit aktörü, 2018 yılından bu yana, Çin ve Japon hedeflerine yönelik ortadaki düşman (AitM) siber casusluk saldırılarında yeni bir arka kapı kullanıyor.
Belirli mağdurlar ESET’in “Blackwood” adını verdiği grup Bunlar arasında büyük bir Çinli imalat ve ticaret şirketi, bir Japon mühendislik ve imalat şirketinin Çin ofisi, Çin ve Japonya’daki kişiler ve Birleşik Krallık’taki yüksek profilli bir araştırma üniversitesiyle bağlantılı Çince konuşan bir kişi yer alıyor.
Blackwood’un bilinen en eski faaliyetinden bu yana yarım on yıldan fazla bir süre geçtikten sonra ancak şimdi ortaya çıkması, öncelikle iki şeye bağlanabilir: zahmetsizce hareket edebilme yeteneği. Popüler yazılım ürünleri güncellemelerinde kötü amaçlı yazılımları gizleyin WPS Office ve kötü amaçlı yazılımın kendisi gibi, “NSPX30” adı verilen son derece karmaşık bir casusluk aracıdır.
Blackwood ve NSPX30
Bu arada NSPX30’un gelişmişliği neredeyse yirmi yıllık araştırma ve geliştirmeye bağlanabilir.
ESET analistlerine göre NSPX30, ilk olarak 9 Ocak 2005’te derlenmiş gibi görünen ve ölümünden sonra “Project Wood” adını verdikleri şeye kadar uzanan uzun bir arka kapı soyundan geliyor.
Çeşitli noktalarda bir Hong Konglu siyasetçiyi hedef almak için kullanılan ve daha sonra Tayvan, Hong Kong ve güneydoğu Çin’i hedef alan Project Wood’dan, 2008’de hayatta kalan DCM (aka “Dark Spectre”) dahil başka varyantlar da geldi. 2018 yılına kadar kötü niyetli kampanyalar.
Aynı yıl geliştirilen NSPX30, kendisinden önce gelen tüm siber casuslukların zirvesidir.
Çok aşamalı, çok işlevli araç, bir damlalık, bir DLL yükleyici, yükleyiciler, orkestratör ve arka kapıdan oluşuyor; son ikisi kendi ek, değiştirilebilir eklenti setleriyle birlikte geliyor.
Oyunun adı bilgi hırsızlığıdır; bunlar sistem veya ağ hakkındaki veriler, dosyalar ve dizinler, kimlik bilgileri, tuş vuruşları, ekran görüntüleri, ses, sohbetler ve WeChat, Telegram, Skype, Tencent QQ gibi popüler mesajlaşma uygulamalarından kişi listeleri olabilir. vb. — ve daha fazlası.
NSPX30, diğer yeteneklerin yanı sıra bir ters kabuk oluşturabilir, kendisini Çin antivirüs araçlarındaki izin verilenler listesine ekleyebilir ve ağ trafiğini engelleyebilir. Bu ikinci yetenek, Blackwood’un komuta ve kontrol altyapısını etkili bir şekilde gizlemesine olanak tanır ve bu da, tespit edilmeden uzun vadede katkıda bulunmuş olabilir.
Yazılım Güncellemelerinde Gizli Bir Arka Kapı
Blackwood’un en büyük numarası aynı zamanda en büyük gizemi de katlıyor.
Makinelere NSPX30 bulaştırmak için tipik hilelerden hiçbirini kullanmaz: kimlik avı, virüs bulaşmış web sayfaları vb. Bunun yerine, tamamen meşru olan bazı programlar, şifrelenmemiş HTTP yoluyla eşit derecede meşru kurumsal sunuculardan güncellemeleri indirmeye çalıştığında, Blackwood bir şekilde arka kapısını da enjekte eder. karışımın içine.
Başka bir deyişle bu, bir satıcının SolarWinds tarzı tedarik zinciri ihlali değil. Bunun yerine ESET, Blackwood’un ağ implantları kullanıyor olabileceğini tahmin ediyor. Bu tür implantlar, hedeflenen ağlardaki savunmasız uç cihazlarda saklanabilir. diğer Çin APT’leri arasında yaygın.
NSPX30’u yaymak için kullanılan yazılım ürünleri arasında WPS Office (Microsoft ve Google’ın ofis yazılımı paketine popüler bir ücretsiz alternatif), QQ anlık mesajlaşma hizmeti (multimedya devi Tencent tarafından geliştirilmiştir) ve Sogou Pinyin giriş yöntemi düzenleyicisi (Çin’in pazar pazarı) bulunmaktadır. yüz milyonlarca kullanıcısı olan lider pinyin aracı).
Peki kuruluşlar bu tehdide karşı nasıl savunma yapabilir? ESET’in kıdemli kötü amaçlı yazılım araştırmacısı Mathieu Tartare, uç nokta koruma aracınızın NSPX30’u engellediğinden emin olun ve meşru yazılım sistemleriyle ilgili kötü amaçlı yazılım tespitlerine dikkat edin, tavsiyesinde bulunuyor. “Ayrıca ARP zehirlenmesi gibi AitM saldırılarını düzgün bir şekilde izleyin ve engelleyin; modern anahtarlar bu tür saldırıları hafifletmek için tasarlanmış özelliklere sahiptir” diyor. IPv6’yı devre dışı bırakmanın bir IPv6 SLAAC saldırısını engellemeye yardımcı olabileceğini ekliyor.
Tartare, “AitM yalnızca gerçekleştirildiği alt ağı etkileyeceğinden, iyi bölümlere ayrılmış bir ağ da yardımcı olacaktır” diyor.