網絡安全公司ESET近日披露了一種新的供應鏈攻擊—「Operation NightScout」,入侵了NoxPlayer的更新機制,後者是一種面向PC和Mac平臺的免費Android模擬器。
Operation NightScout是一個針對性極強、訂製化的監控惡意軟體,主要影響中國臺灣、中國香港和斯裡蘭卡的特定受害者。通過NoxPlayer的木馬化版本更新,攻擊者分發了三個不同的惡意軟體。
由中國香港公司BigNox開發的NoxPlayer是一款Android模擬器,允許用戶在PC上玩手機遊戲,並支持鍵盤、遊戲手柄、腳本錄製和多個實例。據估計在150個國家擁有超過150萬用戶。
據稱,持續攻擊的最初跡象始於2020年9月,從入侵持續到本周發現「明顯惡意活動」,促使ESET向BigNox報告此事件。
ESET研究人員Ignacio Sanmillan表示:「通過分析有問題的受感染軟體和已分發的具有監視功能的惡意軟體,我們認為這可能表明攻擊者有意對遊戲社區中的目標進行情報收集。」
NoxPlayer更新機制被攻擊者用來向用戶分發NoxPlayer的木馬化版本,用戶安裝後會釋放三種不同的惡意有效負載(例如Gh0st RAT)來監控受害者,捕獲鍵盤記錄並收集敏感信息。
研究人員分別發現,BigNox的更新程序還從攻擊者控制的遠程伺服器上下載了其他惡意軟體(例如PoisonIvy RAT)。
PoisonIvy RAT首次發現於2005年,已被用於多個知名惡意軟體活動中,尤其是在2011年對RSA SecurID數據的入侵中。
ESET指出,這次攻擊中使用的惡意軟體加載程序與2018年緬甸總統府網站的洩密,以及去年香港大學遭受的攻擊情況相似。攻擊者入侵了BigNox的基礎架構以託管惡意軟體,有證據表明其API基礎結構可能已經遭到破壞。
Sanmillan建議說:「為了安全起見,建議用戶從乾淨的介質中進行標準重新安裝。對於未被感染的NoxPlayer用戶,在BigNox發送威脅緩解的通知之前,請不要下載任何更新。此外,目前最佳的保護措施是暫時卸載該軟體。」