ESET раскрывает операцию NightScout: Кибершпионажная атака цепочки поставок на геймеров в Азии

Исследователи ESET обнаружили новую атаку на цепочку поставок, компрометирующую механизм обновления NoxPlayer, эмулятора Android для ПК и Mac. На момент написания статьи не было никаких признаков вредоносного ПО...

Братислава, Монреаль – несколько дней назад исследователи ESET обнаружили новую атаку цепочки поставок, компрометирующую механизм обновления NoxPlayer, эмулятора Android для ПК и Mac. Было замечено, что три различных семейства вредоносных программ распространяются от специально разработанных вредоносных обновлений до отдельных жертв без каких-либо признаков использования какой-либо финансовой выгоды, а скорее всего, были замечены только возможности кибершпионажа. ESET окрестила эту вредоносную операцию NightScout.

BigNox-это компания, базирующаяся в Гонконге, которая предоставляет различные продукты, в первую очередь эмулятор Android для ПК и компьютеров Mac, называемый NoxPlayer. Компания утверждает, что у нее есть более 150 миллионов пользователей в более чем 150 странах, которые говорят по крайней мере на 20 различных языках. Тем не менее, база последователей BigNox находится преимущественно в азиатских странах.

“Основываясь на телеметрии ESET, мы увидели первые показатели компромисса в сентябре 2020 года. Активность продолжалась быстрыми темпами, пока мы не обнаружили явно вредоносную активность на этой неделе, после чего мы сообщили об инциденте BigNox”, - говорит исследователь ESET Игнасио Санмиллан, который раскрыл операцию NightScout.

Операция NightScout-это высоконадежная операция, в ходе которой исследователи ESET смогли идентифицировать только несколько жертв. Эти идентифицированные жертвы базируются на Тайване, Гонконге и Шри-Ланке. “Основываясь на скомпрометированном программном обеспечении, о котором идет речь, и поставленном вредоносном ПО, демонстрирующем возможности наблюдения, мы полагаем, что это может указывать на намерение сбора разведданных о целях, вовлеченных в игровое сообщество”, - уточняет Санмиллан.

Карта - распределение жертвночных скаутов



В этой конкретной атаке на цепочку поставок механизм обновления NoxPlayer служил вектором компромисса. При запуске, если NoxPlayer обнаружит более новую версию программного обеспечения, он предложит пользователю окно сообщения, предлагающее пользователю возможность установить его, таким образом доставляя вредоносное ПО.

“У нас есть достаточно доказательств, чтобы утверждать, что инфраструктура BigNox была скомпрометирована для размещения вредоносных программ, а также предположить, что их инфраструктура API могла быть скомпрометирована. В некоторых случаях дополнительные полезные нагрузки были загружены программой обновления BigNox с серверов, контролируемых злоумышленниками”,-добавляет Санмиллан.

В общей сложности исследователи ESET наблюдали три различных варианта вредоносных обновлений. Первый вариант вредоносного обновления, по-видимому, ранее не был задокументирован и обладает достаточными возможностями для мониторинга своих жертв. Второй вариант обновления, в соответствии с первым, был замечен загруженным из законной инфраструктуры BigNox. Развернутая конечная полезная нагрузка представляла собой экземпляр Gh0st RAT (с возможностями кейлоггера), также широко используемый среди субъектов угроз

Третий вариант, PoisonIvy RAT-инструмент удаленного доступа, популярный у киберпреступников, был замечен только в действиях, последовавших за первоначальными вредоносными обновлениями и загруженными из инфраструктуры, контролируемой злоумышленником.
 
ESET обнаружила сходство между погрузчиками, которые наши исследователи отслеживали в прошлом, и некоторыми из тех, что использовались в операции NightScout. Сходство, которое мы видим, относится к примерам, обнаруженным на веб-сайте президентского офиса Мьянмы в 2018 году, а в начале 2020 года-во вторжении в Гонконгский университет.

“Чтобы быть в безопасности, в случае вторжения выполните стандартную переустановку с чистого носителя. Для незараженных пользователей NoxPlayer не загружайте никаких обновлений до тех пор, пока BigNox не отправит уведомление о том, что они смягчили угрозу, кроме того, лучшей практикой было бы удалить программное обеспечение”, - советует Санмиллан.

Более подробную техническую информацию об операции NightScout читайте в блоге” Operation NightScout: Supply-chain attack targets online gaming in Asia " на сайте WeLiveSecurity. Обязательно следите за последними новостями ESET Research в Twitter.

[Обновление – 3 февраля 2021 года]
после публикации нашего исследования BigNox связались с нами, чтобы сказать, что их первоначальное отрицание компромисса было недоразумением с их стороны и что с тех пор они предприняли эти шаги для повышения безопасности своих пользователей:

-используйте только HTTPS для доставки обновлений программного обеспечения, чтобы минимизировать риски захвата домена и атак типа "Человек посередине" (MitM).
-реализуйте проверку целостности файлов с помощью хэширования MD5 и проверки сигнатур файлов
-принять дополнительные меры, в частности шифрование конфиденциальных данных, чтобы избежать раскрытия личной информации пользователей
BigNox также заявили, что они отправили последние файлы на сервер обновлений для NoxPlayer и что при запуске NoxPlayer теперь будет запускать проверку файлов приложений, ранее установленных на компьютерах пользователей.

*ESET не несет ответственности за точность информации, предоставленной компанией BigNox.

Материал подготовлен  Eset NOD32