Yetkisiz erişim ve kontrol elde etmek için bilgisayar korsanları, güncellemeleri manipüle ederek yazılımdaki güvenlik açıklarından yararlanır.
Bilgisayar korsanları güncellemeleri bozarak kötü amaçlı yazılım yayabilir, kullanıcı verilerini tehlikeye atabilir ve gelecekteki saldırılar için arka kapılar oluşturabilir.
Bu, bilgisayar korsanlarının geniş bir kullanıcı tabanını aynı anda ele geçirmesine olanak tanır ve yazılım yükseltmelerini kötü niyetli faaliyetler için cazip bir hedef haline getirir.
ESET’teki siber güvenlik araştırmacıları yakın zamanda Çinli bilgisayar korsanlarının 2005’ten bu yana kötü amaçlı yazılım yüklemek için yazılım güncellemelerini aktif olarak hedeflediğini ve hacklediğini tespit etti.
Çinli Hackerlar Yazılım Güncellemelerini Ele Geçirdi
ESET, 2018’den bu yana bir siber saldırının arkasında Çin bağlantılı tehdit aktörü Blackwood’u buldu. Blackwood, Çin ve Japon kuruluşlarını hedef alarak yazılım güncellemeleri aracılığıyla NSPX30 implantları sağlamak için AitM saldırılarını kullanıyor.
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.
Ücretsiz Tehdit Taraması Çalıştırın
Blackwood, NSPX30 tarafından oluşturulan trafiği engelleyerek C2 sunucusunun konumunu gizler.
2020’de Çin’deki bir sistem, Evasive Panda, LuoYu ve LittleBear’ın saldırılarıyla sarsıldı. Güvenlik analistleri, şüpheli dosyalar arasında 2005 yılına kadar uzanan yeni bir tehdit olan NSPX30’u buldu ve bu, derin bir soruşturma sonucunda keşfedildi.
Evrim, zaman damgaları aracılığıyla bulunan 2005 tarihli Project Wood adlı arka kapıyla başlıyor. Araştırmacılar orijinalliği PE başlığı, UPX sürümü ve Zengin Başlıkların meta verileri aracılığıyla doğruluyor.
Project Wood, 2008’de DCM’nin ortaya çıkmasına yol açan bir kod tabanı görevi gördü. Tencent’in 2016 raporu, DCM’nin AitM yeteneklerinden yararlanan gelişmiş versiyonunu ayrıntılarıyla anlatıyor.
Bu güvenlik açıkları, popüler Çin yazılımını etkileyen, şifrelenmemiş HTTP aracılığıyla okunaklı yazılım güncellemeleri sırasında meydana geliyor.
ESET’teki siber güvenlik araştırmacıları, telemetrilerinde yasal yazılım firmalarıyla bağlantılı IP adresleri buldu. Orijinal yazılım bileşenlerinin indirilmesiyle milyonlarca bağlantı kaydedildi.
NSPX30’un kötü amaçlı güncellemeler olarak nasıl teslim edildiği bilinmiyor. Spekülasyon, muhtemelen yönlendiriciler gibi savunmasız cihazlara bir ağ implantasyonuna işaret ediyor.
Ancak, hiçbir DNS yeniden yönlendirmesi, NSPX30 implantını teslim etmek için şifrelenmemiş HTTP trafiğinin ele geçirildiğine dair ipucu vermiyor.
Orkestratör, Windows 98’de Internet Explorer gibi davranarak arka kapıyı indirmek için Baidu’nun sitesini kullanır. Özel Kullanıcı Aracısı ve İstek URI’si, orkestratör ve sistem bilgilerini açığa çıkarır.
Arka kapı UDP soketini başlatırken, güvenlik duvarları ve NAT ile ilgili sorunlarla karşılaşıyor. DNS sorguları yoluyla Microsoft’a veri sızdırma[.]com gerçekleşir ve AitM özelliğini kullanarak C&C konumunu akıllıca gizler.
Japonya ve Birleşik Krallık’taki mağdurlar AitM sistemi aracılığıyla hedef alındı. Blackwood tehdit aktörleri 2005’ten beri gözlemleniyor ve Project Wood’dan sürekli olarak geliştiriliyor. İlkel arka kapı Project Wood’un geçmişi, deneyimli kötü amaçlı yazılım geliştiricilerine işaret ediyor.