Ένας προηγουμένως άγνωστος προηγμένος απειλητικός παράγοντας, γνωστός με το όνομα ‘Blackwood‘, χρησιμοποιεί εξελιγμένο κακόβουλο λογισμικό με την ονομασία NSPX30 σε επιθέσεις κυβερνοκατασκοπίας εναντίον εταιρειών και ατόμων.
Δείτε επίσης: Κακόβουλα Google ads εξαπατούν τους χρήστες Mac να εγκαταστήσουν το Atomic Stealer malware
Ο απειλητικός παράγοντας υπάρχει από το 2018, χρησιμοποιώντας το malware NSPX30, ένα εμφύτευμα με έναν κώδικα που βασίζεται σε ένα backdoor από το 2005.
Οι ερευνητές της εταιρείας κυβερνοασφάλειας ESET ανακάλυψαν το Blackwood και το εμφύτευμα NSPX30 σε μια εκστρατεία το 2020 και πιστεύουν ότι οι δραστηριότητες της ομάδας συμπίπτουν με τα ενδιαφέροντα του κινεζικού κράτους.
Οι στόχοι της Blackwood βρίσκονται στην Κίνα, την Ιαπωνία και το Ηνωμένο Βασίλειο, και παρέδωσε το malware μέσω των μηχανισμών ενημέρωσης νόμιμου λογισμικού όπως το WPS Office (office suite), την πλατφόρμα άμεσων μηνυμάτων Tencent QQ, και τον επεξεργαστή εγγράφων Sogou Pinyin.
Σύμφωνα με τους ερευνητές, ο υποκείμενος απειλητικός πράκτορας διεξάγει επιθέσεις AitM και παρεμβαίνει στην κυκλοφορία που παράγεται από το NSPX30 για να κρύψει τις δραστηριότητές του και να αποκρύψει τους διακομιστές ελέγχου και ελέγχου (C2).
Η ESET επισημαίνει επίσης ότι η Blackwood πιθανότατα μοιράζεται πρόσβαση με άλλες Κινεζικές ομάδες APT, καθώς παρατήρησε το σύστημα μιας εταιρείας να στοχεύεται από εργαλεία που σχετίζονται με πολλούς δράστες, όπως οι Evasive Panda, LuoYu και LittleBear.
Το NSPX30 είναι ένα εκλεπτυσμένο εμφυτευμα βασισμένο σε κώδικα backdoor με το όνομα ‘Project Wood’, που είχε βασικές ικανότητες για συλλογή δεδομένων συστήματος, keylogging και λήψη στιγμιοτύπων οθόνης.
Ανάμεσα σε άλλα εμφυτεύματα που προέκυψαν από το Έργο Wood ήταν το DCM (Dark Specter), που είδε το φως της δημοσιότητας για πρώτη φορά το 2008, προσφέροντας πολλαπλές λειτουργικές βελτιώσεις.
Δείτε ακόμα: Malware και ransomware εξακολουθούν να αποτελούν τις μεγαλύτερες απειλές στον κυβερνοχώρο
Η ESET πιστεύει ότι το NSPX30 εξελίχθηκε από το DCM με το πρώτο γνωστό δείγμα κακόβουλου λογισμικού που τεκμηριώθηκε το 2018.
Σε αντίθεση με τους προκατόχους του, το NSPX30 χαρακτηρίζεται από την πολυσταδιακή του αρχιτεκτονική, η οποία περιλαμβάνει στοιχεία όπως ένας αποθέτης, ένας εγκαταστάτης DLL με εκτεταμένες δυνατότητες παράκαμψης UAC, ένας φορτωτής, ένας οργανωτής και ένα backdoor, καθένα με το δικό του σύνολο πρόσθετων.
Το NSPX30 επιδεικνύει σημαντική τεχνική πρόοδο, με δυνατότητες για πακέτα παρεμβολής προκειμένου να κρύψει την υποδομή του, επιτρέποντάς του να λειτουργεί κρυφά. Διαθέτει επίσης μηχανισμούς που το προσθέτουν σε λίστες επιτρεπόμενων εργαλείων αντι-κακόβουλου λογισμικού της Κίνας, προκειμένου να αποφεύγει τον εντοπισμό.
Η κύρια λειτουργία του NSPX30 είναι η συλλογή πληροφοριών από το παραβιασμένο σύστημα, συμπεριλαμβανομένων αρχείων, στιγμιότυπων οθόνης, πατημάτων πλήκτρων, δεδομένων υλικού και δικτύου, καθώς και διαπιστευτήρια.
Επιπλέον, το παρασκήνιο μπορεί επίσης να κλέψει τα αρχεία καταγραφής συνομιλιών και τις λίστες επαφών από τα Tencent QQ, WeChat, Telegram, Skype, CloudChat, RaidCall, YY και AliWangWang.
Επιπλέον, το backdoor μπορεί επίσης να τερματίσει διεργασίες ανά PID, να δημιουργήσει αντίστροφo κέλυφος, να μετακινήσει αρχεία σε καθορισμένες διαδρομές, ή να απεγκατασταθεί από το μολυσμένο σύστημα.
Δείτε επίσης: Mobile malware: Ένας μεγάλος κίνδυνος για τις επιχειρήσεις
Πώς εντοπίζεται και αντιμετωπίζεται το εξελιγμένο malware;
Το εξελιγμένο malware εντοπίζεται μέσω της χρήσης εξελιγμένων λύσεων ασφαλείας, όπως τα συστήματα προστασίας από εισβολές (IPS), τα προγράμματα antivirus και τα εργαλεία ανίχνευσης απειλών. Αυτά τα συστήματα χρησιμοποιούν πολλαπλές τεχνικές για την ανίχνευση και την απομάκρυνση του malware, όπως η ανάλυση συμπεριφοράς, η επιθετική ανίχνευση και η ανίχνευση υπογραφών.
Η αντιμετώπιση του εξελιγμένου malware απαιτεί μια πολυεπίπεδη προσέγγιση. Αυτό μπορεί να περιλαμβάνει την απομόνωση των συστημάτων που έχουν μολυνθεί, την αποκατάσταση των δεδομένων από ασφαλή αντίγραφα, την ενημέρωση των λογισμικών ασφαλείας και την εφαρμογή των τελευταίων ενημερώσεων και διορθώσεων.
Επιπλέον, η εκπαίδευση των χρηστών για τις τεχνικές που χρησιμοποιούνται από τους δράστες των επιθέσεων malware είναι κρίσιμη. Αυτό μπορεί να περιλαμβάνει την εκμάθηση των συμπτωμάτων μιας επίθεσης malware, την αναγνώριση των ύποπτων μηνυμάτων ηλεκτρονικού ταχυδρομείου και των διαδικτυακών απειλών και την κατανόηση της σημασίας της διατήρησης των λογισμικών ασφαλείας ενημερωμένων.
Τέλος, η χρήση εργαλείων για την προστασία των δεδομένων, όπως η κρυπτογράφηση και η πολιτική πρόσβασης στο ελάχιστο προνόμιο, μπορεί να βοηθήσει στην προστασία των ευαίσθητων πληροφοριών από την παραβίαση από εξελιγμένο malware.
Πηγή: bleepingcomputer
