Blackwood, implantı dağıtırken meşru yazılımlardan gelen güncelleme taleplerini ele geçirmek için ortadaki adam tekniklerinden yararlanıyor. Çin, Japonya ve Birleşik Krallık'tan bireylere ve şirketlere karşı siber casusluk operasyonları gerçekleştiriyor. NSPX30 implantı Tencent QQ, WPS Office ve Sogou Pinyin gibi yasal yazılımların güncelleme mekanizmaları aracılığıyla dağıtılıyor. Araştırma, NSPX30'un gelişiminin izini 2005 yılında Project Wood adı verilen ve kurbanlarından veri toplamak için tasarlanan küçük bir arka kapıya kadar sürüyor. NSPX30, damlalık, yükleyiciler, orkestratör ve arka kapı gibi çeşitli bileşenleri içeren çok aşamalı bir implant. NSPX30 ayrıca çeşitli Çin kötü amaçlı yazılımdan koruma çözümlerinde kendisini izin verilenler listesine ekleme yeteneğine sahip. ESET bu aktiviteyi Blackwood adını verdiği yeni bir APT grubuna bağladığını açıkladı.
ESET Research, Blackwood ve arka kapı Project Wood'u muteks adında yinelenen bir temaya dayanarak adlandırdı. Muteks veya karşılıklı dışlama, paylaşılan bir kaynağa erişimi kontrol etmek için kullanılan bir senkronizasyon aracı. 2005'teki Project Wood implantı, uygulanan teknikler göz önüne alındığında, kötü amaçlı yazılım geliştirme konusunda deneyimli geliştiricilerin işi olarak görünüyor. ESET, Blackwood adını verdiği Çin bağlantılı tehdit aktörünün en az 2018'den beri faaliyet gösterdiğini düşünüyor.
KISA SÜRE ÖNCE AZ SAYIDA SİSTEMDE TESPİT EDİLDİ
ESET telemetrisine göre, NSPX30 implantı kısa süre önce az sayıda sistemde tespit edildi. Kurbanlar arasında Çin ve Japonya'da bulunan kimliği belirsiz kişiler, Birleşik Krallık'taki yüksek profilli bir kamu araştırma üniversitesinin ağına bağlı Çince konuşan kimliği belirsiz bir kişi, Çin'de bulunan büyük bir üretim ve ticaret şirketi ve mühendislik ve üretim sektöründeki bir Japon şirketinin Çin merkezli ofisleri yer alıyor. ESET, saldırganların, erişimin kaybedilmesi durumunda sistemleri yeniden ele geçirmeye çalıştıklarını da gözlemledi.
NSPX30 ve Blackwood'u keşfeden ESET araştırmacısı Facundo Muñoz, "Saldırganların kötü niyetli güncellemeler olarak NSPX30'u tam anlamıyla nasıl sunabildiklerini bilmiyoruz zira saldırganların başlangıçta hedeflerini tehlikeye atmalarını olanak tanıyan aracı henüz keşfetmedik" dedi.
Yeni bir tehdit grubu ortaya çıkarıldı
Dijital güvenlik şirketi ESET, Çin bağlantılı yeni bir APT grubunu ve bu grup tarafından kullanılan sofistike bir implant olan NSPX30'u ortaya çıkardı. ESET Çin bağlantılı APT (sürekli gelişmiş tehdit) grubunu Blackwood olarak adlandırdı.