超強後門中國APT攻擊者黑木已潛伏５年以上

 超強後門中國APT攻擊者黑木已潛伏５年以上

2024 / 01 / 29

編輯部

超強後門！中國APT攻擊者「黑木」已潛伏５年以上

自 2018 年以來，一個未知的中國威脅行為者持續使用新型後門對中國和日本目標進行中間人 (AitM) 網路間諜攻擊。

 

ESET公司將該組織命名為「Blackwood」，目前已知的具體受害者包括一家大型中國製造和貿易商、一家日本工程和製造公司的中國辦事處、以及部分中國和日本的特定人士。

 

距離第一次攻擊，Blackwood隔了5年才被曝光。研究人員表示Blackwood能夠毫不費力地在 WPS Office 等流行軟體產品的更新中隱藏惡意軟體，這種惡意軟體是一種高度精密的間諜工具，名為「NSPX30」。

 

NSPX30的前身可以追溯到2005年的Project Wood。該計畫曾多次針對香港政客，後來又針對台灣、香港和中國東南部地區。Project Wood有許多變體，包括2008 年的DCM（又名Dark Specter 黑暗幽靈）。DCM持續10年之久，直到2018年還有出現惡意攻擊行動。

 

NSPX30也在2018年出現，集所有網路間諜工具之大成。NSPX30是一種多階段的多工工具，由一個 dropper、一個 DLL 安裝程式、載入程式、協調器和後門組成。其中協調器和後門都帶有一組附加可交換的插件。

 

無論是系統或網路、文件和目錄、憑證、擊鍵、螢幕截圖、音訊、聊天以及來自流行訊息應用程式，如:微信、Telegram、Skype、騰訊QQ、等等，NSPX30都可以進行資訊竊取。

 

此外，NSPX30 還可以建立反向 shell，將自身添加到中國防病毒工具的白名單中，並攔截網路流量。這種能力使 Blackwood 能夠有效隱藏自己的CC伺服器，可以長期運作而不被發現。

軟體更新中隱藏的後門

目前Blackwood的確切攻擊手法還不明朗。它不使用任何典型的技巧：網絡釣魚、受感染的網頁等。相反，當某些完全合法的程序嘗試通過未加密的HTTP 從合法的企業服務器下載更新時，Blackwood也會以某種方式植入後門。

 

換句話說，這並不是 SolarWinds 事件的供應鏈攻擊型態。ESET 推測 Blackwood 可能使用網路植入物件。此類植入程式可能儲存在目標網路中易受攻擊的邊緣設備中，這在其他中國 APT 中很常見。

 

用於傳播 NSPX30 的軟體產品包括 WPS Office，一種免費替代Microsoft和Google office軟體套件的程式、QQ 即時通訊服務和搜狗拼音輸入法編輯器。

 

ESET建議，執行端點保護工具阻止 NSPX30，並注意與合法軟體系統相關的惡意軟體偵測。此外，監控和阻止 AitM 攻擊，如 ARP 中毒。現今的交換器多半有緩解此類攻擊的功能。同時禁用 IPv6 有助於阻止 IPv6 SLAAC 攻擊。

 

研究人員補充道，分段良好的網路也會有所幫助，因為 AitM 只會影響執行它的子網。