ad2c53427809f23

针对 NoxPlayer 用户的供应链攻击

  • 浏览次数 96126
  • 喜欢 0
  • 评分 12345

研究人员发现了一种软件供应链攻击,它被用来在在线游戏玩家的电脑上安装监控恶意软件。不明身份的攻击者针对的是NoxPlayer的特定用户,NoxPlayer是一个在PC和Mac上模拟Android操作系统的软件包。人们主要用它来玩这些平台上的移动Android游戏。NoxPlayer制造商BigNox表示,该软件在150个国家拥有1.5亿用户。

安全公司Eset周一表示,BigNox软件分发系统遭到黑客攻击,并被用来向部分用户提供恶意更新。最初的更新是在去年9月通过操纵两个文件交付的:主BigNox二进制文件Nox.exe和下载更新本身的NoxPack.exe。

Eset恶意软件研究员Ignacio Sanmillan表示:”我们有足够的证据说明BigNox基础设施(res06.bignox.com)被入侵以托管恶意软件,同时也表明他们的HTTP API基础设施(api.bignox.com)可能已经被入侵,在某些情况下,BigNox更新器从攻击者控制的服务器下载了额外的有效载荷。这表明,BigNox API回复中提供的URL字段被攻击者篡改了。”

简而言之,攻击是这样的:在启动时,Nox.exe会向一个编程接口发送请求,查询更新信息。BigNox API服务器会响应更新信息,其中包括合法更新的URL。Eset推测,合法的更新可能已经被恶意软件取代,或者,引入了新的文件名或URL。

ad2c53427809f23

然后,恶意软件被安装在目标机器上。恶意文件没有像合法更新那样进行数字签名。这说明BigNox软件构建系统并没有被入侵,只有提供更新的系统被入侵。恶意软件会对目标计算机进行有限的侦察。攻击者会进一步将恶意更新定制到特定的感兴趣的目标上。

BigNox API服务器向特定目标响应更新信息,这些信息指向攻击者控制的服务器上的恶意更新位置。观察到的入侵流程如下图所示。合法的BigNox基础设施正在为特定的更新提供恶意软件。我们观察到,这些恶意更新只在2020年9月进行。Sanmillan表示,在安装了NoxPlayer的10万多名Eset用户中,只有5人收到了恶意更新。这些数字凸显了攻击的针对性。目标位于台湾、香港和斯里兰卡。

 

 

 

 

(消息及封面来源:cnBeta