資安威脅趨勢 - 中國駭客組織鎖定當地知名應用程式進行軟體供應鏈攻擊並部署間諜程式Nspx30
中國駭客組織鎖定當地知名應用程式進行軟體供應鏈攻擊並部署間諜程式Nspx30
一、摘要
資安業者ESET近期揭露中國駭客組織Blackwood的供應鏈攻擊行動,該駭客團體鎖定騰訊QQ、WPS Office、搜狗拼音等中國知名軟體的更新機制下手,其是透過中間人攻擊(AiTM)的手法,部署名為Nspx30間諜程式。
二、存在風險
資安業者ESET近期揭露中國駭客組織Blackwood的供應鏈攻擊行動,該駭客團體鎖定騰訊QQ、WPS Office、搜狗拼音等中國知名軟體的更新機制下手,其是透過中間人攻擊(AiTM)的手法,部署名為Nspx30間諜程式。
目前已有多個中國製造商、貿易業者、日本工程及製造業者受害,且駭客團體也嘗試對中國、日本、英國的使用者發動攻擊。直得留意的是,駭客將Nspx30列入多款中國防毒軟體白名單,使其攻擊行動更加難以被察覺。
該駭客團體植入的惡意程式內含多種類型元件,其包含惡意程式植入工具(Dropper)、安裝工具、載入工作、流程自動化程式(Orchestrator)、後門程式等。
- IoC:
- 625BEF5BD68F75624887D732538B7B01E3507234
- 43622B9573413E17985B3A95CBE18CFE01FADF42
- 240055AA125BD31BF5BA23D6C30133C5121147A5
- 308616371B9FF5830DFFC740318FD6BA4260D032
- 796D05F299F11F1D78FBBB3F6E1F497BC3325164
- 82295E138E89F37DD0E51B1723775CBE33D26475
- 44F50A81DEBF68F4183EAEBC08A2A4CD6033DD91
- DB6AEC90367203CAAC9D9321FDE2A7F2FE2A0FB6
- 9D74FE1862AABAE67F9F2127E32B6EFA1BC592E9
- 8296A8E41272767D80DF694152B9C26B607D26EE
- 8936BD9A615DD859E868448CABCD2C6A72888952
- AF85D79BC16B691F842964938C9619FFD1810C30
- ACD6CD486A260F84584C9FF7409331C65D4A2F4A
建議改善措施:儘速導入雲智維服務,進行資安威脅情資偵測與聯防,降低企業資安風險。