Alertas de Seguridad

ESET Research descubre el nuevo grupo APT Blackwood

Que se implementa a través de mecanismos de actualización de software legítimo

[31/01/2024] Los investigadores de ESET descubrieron NSPX30, un implante sofisticado utilizado por un nuevo grupo APT alineado con China, llamado Blackwood por ESET. Según lo señalado en el comunicado de prensa, Blackwood aprovecha técnicas de adversario intermedio para secuestrar solicitudes de actualización de software legítimo para entregar el implante. Ha realizado operaciones de ciberespionaje contra particulares y empresas de China, Japón y Reino Unido. ESET mapeó la evolución de NSPX30 hasta un ancestro anterior: una puerta trasera simple que han llamado Proyecto Wood. La muestra más antigua encontrada fue recopilada en el 2005.

"ESET Research nombró a Blackwood y la puerta trasera Project Wood basándose en un tema recurrente en un nombre mutex. Un mutex, o exclusión mutua, es una herramienta de sincronización utilizada para controlar el acceso a un recurso compartido. El implante del Proyecto Wood del 2005 parece ser obra de desarrolladores con experiencia en el desarrollo de malware, dadas las técnicas implementadas. ESET cree que el actor de amenazas alineado con China al que hemos llamado Blackwood ha estado operando desde al menos el 2018. En el 2020, ESET detectó un aumento de actividad maliciosa en un sistema objetivo ubicado en China. La máquina se había convertido en lo que comúnmente se conoce como un "imán de amenazas, ya que ESET Research detectó intentos de los atacantes de utilizar kits de herramientas de malware asociados con múltiples grupos de APT, sostuvo Facundo Muñoz, quien descubrió NSPX30 y Blackwood.

Distribución geográfica de las víctimas de Blackwood.

Según la telemetría de ESET, el implante NSPX30 se detectó recientemente en una pequeña cantidad de sistemas. "Entre las víctimas se incluyen individuos no identificados ubicados en China y Japón, un individuo no identificado de habla china conectado a la red de una universidad pública de investigación de alto perfil en el Reino Unido, una gran empresa manufacturera y comercial en China, y oficinas con sede en China de una Corporación japonesa en el sector de ingeniería y fabricación. ESET también ha observado que los atacantes intentan volver a comprometer los sistemas si se pierde el acceso.

"NSPX30 es un implante de varias etapas que incluye varios componentes, como un gotero, un instalador, cargadores, un orquestador y una puerta trasera. Ambos últimos componentes tienen sus propios conjuntos de complementos que implementan capacidades de espionaje para varias aplicaciones, como Skype, Telegram, Tencent QQ y WeChat, entre otras. También es capaz de incluirse en varias soluciones antimalware chinas. Utilizando la telemetría de ESET, ESET Research determinó que las máquinas se ven comprometidas cuando software legítimo intenta descargar actualizaciones de servidores legítimos utilizando el protocolo HTTP (sin cifrar). Las actualizaciones de software secuestradas incluyen aquellas de software chino popular, como Tencent QQ, Sogou Pinyin y WPS Office. El propósito básico de la puerta trasera es comunicarse con su controlador y filtrar los datos recopilados; es capaz de tomar capturas de pantalla, registrar teclas y recopilar información diversa, explicó el investigador.

Muñoz agregó que la capacidad de interceptación de los atacantes también les permite anonimizar su infraestructura real, ya que el orquestador y la puerta trasera contactan redes legítimas propiedad de Baidu para descargar nuevos componentes o filtrar la información recopilada. ESET cree que el tráfico malicioso, pero de apariencia legítima, generado por NSPX30 se reenvía a la infraestructura de los atacantes reales mediante un mecanismo de interceptación desconocido que también realiza ataques de adversario en el medio.

"Aún desconocemos cómo exactamente los atacantes pueden entregar NSPX30 como actualizaciones maliciosas, ya que aún tenemos que descubrir la herramienta que permite a los atacantes comprometer sus objetivos inicialmente. Sin embargo, basándonos en nuestra propia experiencia con actores de amenazas alineados con China que exhiben estas capacidades, así como en investigaciones recientes sobre implantes de enrutadores atribuidos a otro grupo alineado con China, MustangPanda, especulamos que los atacantes están implementando un implante de red dentro de las redes. de las víctimas, posiblemente en dispositivos de red vulnerables, como enrutadores o puertas de enlace, finalizó Muñoz.

Llegamos a ustedes gracias a:


BrandPosts Qué es BrandPost

Más »
×
Los artículos publicados en esta sección -BrandPosts- son escritos y editados por los proveedores o miembros de la comunidad TI. BrandPosts crea una oportunidad para que un patrocinador proporcione información y comentarios desde su punto de vista, directamente a la audiencia de CTO Perú. El equipo editorial de CTO Perú no participa en la redacción o edición de estos BrandPosts.

Primer contacto

Más »

Casos de éxito

Más »