Les chercheurs d’ESET découvre un nouveau groupe d’espionnage nommé BLACKWOOD, aligné avec les intérêts chinois

Date:

  • L’implant utilisé par BLACKWOOD est nommé NSPX30. Il est déployé via des mécanismes de mise à jour de logiciels légitimes, tels que Tencent QQ, WPS Office et Sogou Pinyin.
  • ESET attribue cette activité à un nouveau groupe APT aligné sur la Chine que nous avons nommé BLACKWOOD.
  • ESET a détecté l’implant lors d’attaques ciblées contre des entreprises chinoises et japonaises ainsi que contre des individus situés en Chine, au Japon et au Royaume-Uni.
  • L’objectif des attaques est le cyber espionnage.
  • L’implant permet aux attaquants d’intercepter des paquets afin de cacher leur infrastructure.

Les chercheurs d’ESET ont découvert NSPX30, un implant sophistiqué utilisé par un nouveau groupe APT, nommé Blackwood par ESET. L’implant malveillant est délivré grâce au détournement de mise à jour de logiciels légitimes, la technique est dite de l’homme du milieu.

Ce groupe malveillant a mené des opérations de cyber espionnage contre des individus et des entreprises de Chine, du Japon et au Royaume-Uni.

ESET a cartographié l’évolution de NSPX30 à partir d’une version antérieure, une simple porte dérobée que nous avions nommée Project Wood. L’échantillon le plus ancien trouvé a été compilé en 2005. Celui-ci semble être l’œuvre de développeurs de logiciels malveillants expérimentés, compte tenu des techniques utilisées.

ESET estime que l’acteur malveillant aligné sur la Chine que nous avons nommé Blackwood opère depuis au moins 2018. En 2020, ESET a détecté une recrudescence d’activités malveillantes sur un système ciblé en Chine. La machine était devenue ce que l’on appelle communément un « aimant à menaces », car ESET Research a détecté des tentatives d’usage des boîtes à outils de logiciels malveillants associées à plusieurs groupes APT.

Selon la télémétrie d’ESET, l’implant NSPX30 a récemment été détecté sur un petit nombre de systèmes. Parmi les victimes figurent des individus non identifiés situés en Chine et au Japon, un sinophone non identifié et connecté au réseau d’une université de recherche publique de premier plan au Royaume-Uni, une grande entreprise de fabrication et de négoce en Chine et des bureaux basés en Chine d’une société japonaise dans le secteur de l’ingénierie et de la fabrication.

ESET a également observé que les attaquants tentent de compromettre à nouveau les systèmes en cas de perte de leur accès.

NSPX30 est un implant qui comprend plusieurs composants, tels qu’un dropper, un installateur, des chargeurs, un orchestrateur et une porte dérobée. Ces deux derniers composants ont leurs propres ensembles de plugins qui implémentent des capacités d’espionnage pour plusieurs applications, telles que Skype, Telegram, Tencent QQ et WeChat. L’implant est également capable de pénétrer lui-même dans plusieurs solutions antimalware chinoises.

À l’aide de la télémétrie d’ESET, ESET Research a déterminé que les machines sont compromises lorsqu’un logiciel légitime tente de télécharger des mises à jour à partir de serveurs légitimes à l’aide du protocole HTTP (non chiffré).

Les mises à jour logicielles détournées incluent celles de logiciels chinois populaires, tels que Tencent QQ, Sogou Pinyin et WPS Office. L’objectif de la porte dérobée est de communiquer avec son contrôleur et d’exfiltrer les données collectées ; elle est capable de prendre des captures d’écran, d’enregistrer des frappes et de collecter diverses informations.

La capacité d’interception des attaquants leur permet également d’anonymiser leur infrastructure réelle, car l’orchestrateur et la porte dérobée contactent les réseaux légitimes appartenant à Baidu pour télécharger de nouveaux composants ou exfiltrer les informations collectées. ESET estime que le trafic malveillant mais d’apparence légitime généré par NSPX30 est transféré à l’infrastructure réelle des attaquants par une mécanisme d’interception inconnu qui effectue également des attaques de type homme du milieu (AitM).

« Nous ne savons pas exactement comment les attaquants sont capables de fournir NSPX30 sous forme de mises à jour malveillantes, car nous n’avons pas encore découvert l’outil qui permet aux attaquants de compromettre leurs cibles dans un premier temps », explique Facundo Muñoz, chercheur chez ESET, qui a découvert NSPX30 et Blackwood. « Cependant, sur la base de notre propre expérience avec des acteurs malveillants alignés sur la Chine, ainsi que sur des recherches récentes sur les implants de routeurs attribués à un autre groupe aligné sur la Chine, MustangPanda, nous supposons que les attaquants déploient un implant dans les réseaux des victimes, peut-être sur des appareils réseau vulnérables, tels que des routeurs ou des passerelles », explique Muñoz.

 

Répartition géographique des victimes de Blackwood

Partager l'article:

Articles Recents

S'abonner

VIDÉOS SPONSORISÉES
VIDÉOS SPONSORISÉES

00:00:32

Lancement du nouveau Huawei Nova Y61

Huawei Consumer Business Group annonce le lancement du HUAWEI nova Y61, le plus récent smartphone de la série HUAWEI nova Y.
00:01:21

Samsung innove dans le suivi santé et bien-être avec les Galaxy Watch5 et Galaxy Watch5 Pro

Les nouvelles Galaxy Watch5 Series proposent des fonctionnalités de suivi du sommeil pertinentes et un design personnalisé pour façonner les habitudes de santé et bien-être au quotidien.

CONTENUS SPONSORISÉS
CONTENUS SPONSORISÉS

OPPO A78, le nouveau smartphone bientôt en Tunisie

OPPO, la marque leader sur le marché mondial des appareils connectés, vient d’annoncer l’arrivée sur le marché tunisien de son dernier smartphone A78, à partir du 1er septembre 2023.
00:03:27

OPPO Tunisie lance les nouveaux smartphones Reno8 T 4G, Reno8 T 5G, un design élégant et une fluidité totale

OPPO vient d’annoncer le lancement, en Tunisie, de ses derniers modèles de smartphones de la série Reno, les nouveaux Reno8 T et Reno8 T 5G, avec une offre spéciale durant tout le mois de mars 2023.

Oppo consolide sa position et met en avant la nouvelle technologie de son Reno7

OPPO, la marque internationale leader dans l’industrie des smartphones et des objets connectés, a développé ces dernières années sa position et ses activités en Tunisie, dans le cadre d’une extension sur les marchés de la région Moyen Orient et Afrique.

OPPO Reno7 : L’Expert du portrait qui capture vos différentes personnalités

En tant que première série de smartphones à se spécialiser dans la photographie de portrait, la série Reno d’OPPO a ouvert la voie à une nouvelle génération de portrait intelligent à l’aide d’une technologie révolutionnaire et des algorithmes d'intelligence artificielle.

A lire également
A lire également

L’Union européenne inflige une amende antitrust de 1,8 milliard d’euros à Apple pour infraction à la concurrence

Apple a été condamné lundi à une amende de 1,8 milliard d'euros pour avoir empêché Spotify et d'autres services de streaming d'informer les utilisateurs des options de paiement en dehors de son App Store,

Kaspersky présente son nouveau jeu vidéo immersif pour professionnels

Kaspersky lance aujourd’hui son nouveau jeu vidéo, une simulation simple et rapide mettant les joueurs dans la peau du nouveau responsable de la sécurité informatique, d’une start-up de taille moyenne.

Xbox et Microsoft dévoilent leur participation à la Game Developers Conference 2024

Xbox et Microsoft annoncent leur participation à la Game Developers Conference 2024 à travers le site officiel Microsoft Game Dev.

OPPO Tunisie obtient le label « Elu Produit de l’Année 2024 »

OPPO Tunisie vient de décrocher le label « Elu Produit de l’Année 2024 » dans la catégorie des smartphones pour sa célèbre série Reno, et ce lors d’une cérémonie solennelle de remise des prix EPA, organisée à Tunis le 28 février 2024.

ESET présente ses dernières solutions de cybersécurité pour entreprises au MCCE 2024

Le paysage des cybermenaces est en constante évolution, s’orientant de plus en plus vers les petites et moyennes entreprises (PME) et ETI.

Les attaques contre les appareils mobiles ont considérablement augmenté en 2023

En 2023, Kaspersky a observé une augmentation constante du nombre d’attaques sur les appareils mobiles, atteignant près de 33,8 millions d’attaques soit une augmentation de 50% par rapport à l’année précédente.

Restez motivé pour donner le meilleur de vous-même avec le tout nouveau Samsung Galaxy Fit3

Samsung Electronics Co., Ltd. a annoncé aujourd'hui le lancement du Galaxy Fit3 , son tout nouveau tracker de fitness qui démocratise la technologie avancée de surveillance de la santé de Samsung, inspirant chacun à se sentir mieux et à adopter un mode de vie plus sain.

OPPO AI Center, premier centre d’intelligence artificielle, la série Reno 11 recevra de nombreuses fonctions IA

OPPO, leader mondial de la technologie, vient d’annoncer la création d’un centre d'intelligence artificielle ‘‘OPPO AI Center’’.