Blackwood, nouveau groupe APT aligné sur la Chine, utilisant des implants avancés pour attaquer au Royaume-Uni en Chine, et au Japon, découvert par ESET Research
Publié le 25/01/2024 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
BRATISLAVA, MONTREAL — Le 25 janvier 2024 — Les chercheurs d'ESET ont découvert NSPX30, un implant sophistiqué utilisé par un nouveau groupe APT aligné sur la Chine, nommé Blackwood par ESET. Pour livrer l'implant, Blackwood exploite les techniques de l'adversaire du milieu et détourne les demandes de mise à jour des logiciels légitimes. Il a mené des opérations de cyber-espionnage contre des personnes et des entreprises au Royaume-Uni, en Chine et au Japon. L'évolution du NSPX30 a été retracé jusqu'à un ancêtre : une simple porte dérobée, nommée Project Wood par ESET. L’échantillon le plus ancien a été compilé en 2005.
ESET Research a utilisé les noms Blackwood et Project Wood (porte dérobée) sur base d'un thème récurrent dans un nom mutex. Un mutex, ou exclusion mutuelle, est un outil de synchronisation pour contrôler l'accès à une ressource partagée. L'implant Project Wood de 2005 semble être dû à des développeurs expérimentés dans la création de maliciels, d’après les techniques utilisées. ESET estime que l’acteur malveillant aligné sur la Chine nommé Blackwood opère déjà depuis 2018. En 2020, ESET a détecté une recrudescence d’activités malveillantes sur un système situé en Chine. La machine est devenue ce qu’on appelle un « aimant à menaces », ESET Research a détecté des tentatives d'attaquants utilisant des kits d'outils malveillants associés à divers groupes APT.
D’après la télémétrie d’ESET, l'implant NSPX30 a été détecté il y a peu sur un petit nombre de systèmes. Parmi les victimes il y a des personnes non identifiées situées en Chine et au Japon, une personne non identifiée parlant chinois et connectée au réseau d'une université de recherche publique de haut niveau au Royaume-Uni, une grande entreprise manufacturière et commerciale en Chine et les bureaux chinois d'un société japonaise du secteur de l'ingénierie et de la fabrication. ESET a aussi observé que les attaquants tentent de compromettre à nouveau les systèmes s’ils perdent l'accès.
NSPX30 est un implant à plusieurs étages comprenant plusieurs composants, tels qu'un dropper, un installateur, des chargeurs, un orchestrateur et une porte dérobée. Les deux derniers composants ont leurs propres ensembles de plugins qui implémentent des capacités d'espionnage pour plusieurs applis dont Skype, Telegram, Tencent QQ et WeChat, etc. Il peut aussi s'inscrire sur liste verte de plusieurs solutions antimalware chinoises. Grâce à sa télémétrie, ESET Research a détecté que les machines sont compromises lorsqu'un logiciel légitime tente de télécharger des mises à jour depuis des serveurs légitimes à l'aide du protocole HTTP (non chiffré). Les mises à jour de logiciels piratés incluent des logiciels chinois populaires, tels que Tencent QQ, Sogou Pinyin et WPS Office. L’objectif fondamental de la porte dérobée est de communiquer avec son contrôleur et d’exfiltrer les données collectées; il peut prendre des captures d'écran, enregistrer des frappes et collecter différentes informations.
La capacité d’interception des attaquants leur permet de rendre anonyme leur véritable infrastructure. L’orchestrateur et la porte dérobée contactent des réseaux légitimes de Baidu Inc. pour télécharger des nouveaux composants ou exfiltrer des informations. ESET estime que le trafic d'apparence légitime généré par NSPX30 est transmis à l'infrastructure des attaquants par un mécanisme d'interception inconnu qui effectue aussi des attaques d'adversaire du milieu.
« Nous ne savons pas exactement comment les attaquants peuvent diffuser NSPX30 sous forme de mises à jour malveillantes, car nous n'avons pas encore découvert l'outil qui, dans un premier temps, leur permet de compromettre leurs cibles », explique Facundo Muñoz, le chercheur d'ESET qui a découvert NSPX30 et Blackwood. « Mais sur base de notre expérience avec des pirates alignés sur la Chine qui ont ces capacités, ainsi que des recherches récentes sur les implants de routeurs attribués à MustangPanda, un autre groupe aligné sur la Chine, nous pensons que les attaquants déploient un réseau d’implants dans les réseaux des victimes. Probablement sur des appareils réseau vulnérables, tels que des routeurs ou des gateways (passerelles) », conclut Muñoz.
Pour plus d'informations techniques sur le nouveau groupe APT aligné sur la Chine, Blackwood et son implant NSPX30, consultez le blog “NSPX30: A sophisticated AitM-enabled implant evolving since 2005. Suivez aussi ESET Research on Twitter (today known as X)
A propos d’ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/
ESET Research a utilisé les noms Blackwood et Project Wood (porte dérobée) sur base d'un thème récurrent dans un nom mutex. Un mutex, ou exclusion mutuelle, est un outil de synchronisation pour contrôler l'accès à une ressource partagée. L'implant Project Wood de 2005 semble être dû à des développeurs expérimentés dans la création de maliciels, d’après les techniques utilisées. ESET estime que l’acteur malveillant aligné sur la Chine nommé Blackwood opère déjà depuis 2018. En 2020, ESET a détecté une recrudescence d’activités malveillantes sur un système situé en Chine. La machine est devenue ce qu’on appelle un « aimant à menaces », ESET Research a détecté des tentatives d'attaquants utilisant des kits d'outils malveillants associés à divers groupes APT.
D’après la télémétrie d’ESET, l'implant NSPX30 a été détecté il y a peu sur un petit nombre de systèmes. Parmi les victimes il y a des personnes non identifiées situées en Chine et au Japon, une personne non identifiée parlant chinois et connectée au réseau d'une université de recherche publique de haut niveau au Royaume-Uni, une grande entreprise manufacturière et commerciale en Chine et les bureaux chinois d'un société japonaise du secteur de l'ingénierie et de la fabrication. ESET a aussi observé que les attaquants tentent de compromettre à nouveau les systèmes s’ils perdent l'accès.
NSPX30 est un implant à plusieurs étages comprenant plusieurs composants, tels qu'un dropper, un installateur, des chargeurs, un orchestrateur et une porte dérobée. Les deux derniers composants ont leurs propres ensembles de plugins qui implémentent des capacités d'espionnage pour plusieurs applis dont Skype, Telegram, Tencent QQ et WeChat, etc. Il peut aussi s'inscrire sur liste verte de plusieurs solutions antimalware chinoises. Grâce à sa télémétrie, ESET Research a détecté que les machines sont compromises lorsqu'un logiciel légitime tente de télécharger des mises à jour depuis des serveurs légitimes à l'aide du protocole HTTP (non chiffré). Les mises à jour de logiciels piratés incluent des logiciels chinois populaires, tels que Tencent QQ, Sogou Pinyin et WPS Office. L’objectif fondamental de la porte dérobée est de communiquer avec son contrôleur et d’exfiltrer les données collectées; il peut prendre des captures d'écran, enregistrer des frappes et collecter différentes informations.
La capacité d’interception des attaquants leur permet de rendre anonyme leur véritable infrastructure. L’orchestrateur et la porte dérobée contactent des réseaux légitimes de Baidu Inc. pour télécharger des nouveaux composants ou exfiltrer des informations. ESET estime que le trafic d'apparence légitime généré par NSPX30 est transmis à l'infrastructure des attaquants par un mécanisme d'interception inconnu qui effectue aussi des attaques d'adversaire du milieu.
« Nous ne savons pas exactement comment les attaquants peuvent diffuser NSPX30 sous forme de mises à jour malveillantes, car nous n'avons pas encore découvert l'outil qui, dans un premier temps, leur permet de compromettre leurs cibles », explique Facundo Muñoz, le chercheur d'ESET qui a découvert NSPX30 et Blackwood. « Mais sur base de notre expérience avec des pirates alignés sur la Chine qui ont ces capacités, ainsi que des recherches récentes sur les implants de routeurs attribués à MustangPanda, un autre groupe aligné sur la Chine, nous pensons que les attaquants déploient un réseau d’implants dans les réseaux des victimes. Probablement sur des appareils réseau vulnérables, tels que des routeurs ou des gateways (passerelles) », conclut Muñoz.
Pour plus d'informations techniques sur le nouveau groupe APT aligné sur la Chine, Blackwood et son implant NSPX30, consultez le blog “NSPX30: A sophisticated AitM-enabled implant evolving since 2005. Suivez aussi ESET Research on Twitter (today known as X)
A propos d’ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/