详细内容或原文请订阅后点击阅览
NSPX30:自 2005 年以来不断发展的复杂 AitM 植入物
ESET 研究人员发现了 NSPX30,这是一种复杂的植入物,由一个与中国结盟的新 APT 组织使用,我们将其命名为 Blackwood
来源:WeLiveSecurity _恶意软件ESET 研究人员对一次攻击进行了分析,此次攻击由一个之前未披露的与中国结盟的威胁行为者发起,我们将其命名为 Blackwood,我们认为该攻击至少从 2018 年开始运营。攻击者通过中间人 (AitM) 攻击劫持合法软件的更新请求,提供了一种复杂的植入程序,我们将其命名为 NSPX30。
本博文的要点:我们发现 NSPX30 植入程序通过腾讯 QQ、WPS Office 和搜狗拼音等合法软件的更新机制进行部署。我们在针对中国和日本公司以及位于中国、日本和英国的个人的针对性攻击中检测到了该植入程序。我们的研究将 NSPX30 的演变追溯到 2005 年的一个小后门,我们将其命名为 Project Wood,旨在收集受害者的数据。NSPX30 是一个多阶段植入程序,包括多个组件,例如投放器、安装程序、加载器、编排器和后门。后两者都有自己的插件集。植入程序是围绕攻击者进行数据包拦截的能力而设计的,使 NSPX30 操作员能够隐藏其基础设施。NSPX30 还能够在几种中国反恶意软件解决方案中将自己列入白名单。我们将此活动归咎于一个新的 APT 组织,我们将其命名为 Blackwood。
本博文的要点:
本博文的要点: