Sliedrecht, 1 februari 2021 – Enkele dagen geleden ontdekten ESET-onderzoekers een nieuwe supply-chain aanval waarbij het updatemechanisme van NoxPlayer, een Android-emulator voor pc's en Macs, werd gecompromitteerd. Drie verschillende malwarefamilies werden gespot die vanuit aangepaste kwaadaardige updates werden verspreid naar geselecteerde slachtoffers, zonder tekenen van financieel gewin. In plaats daarvan werden alleen cyberspionagemogelijkheden waargenomen. ESET gaf de kwaadaardige operatie de naam NightScout.
BigNox is een bedrijf gevestigd in Hong Kong dat verschillende producten levert. Hoofdzakelijk een Android emulator voor PCs en Macs genaamd NoxPlayer. Het bedrijf beweert dat het meer dan 150 miljoen gebruikers heeft in meer dan 150 landen die ten minste 20 verschillende talen spreken. BigNox's achterban bevindt zich echter voornamelijk in Aziatische landen. Gezien de recente aandacht voor supply-chain-aanvallen staan dit soort dreigingen hoog op de radar van ESET
"Op basis van onze dreigingsinformatie zagen we de eerste sporen van inbraak in september 2020. Deze kwaadaardige activiteiten hebben we vorige week expliciet kunnen bevestigen. Het incident is toen meteen bij Bignox gemeld", zegt ESET-onderzoeker Ignacio Sanmillan, die Operation NightScout ontmaskerde.
Operation NightScout is een zeer gerichte operatie waarbij ESET-onderzoekers slechts enkele slachtoffers konden identificeren. Deze slachtoffers zijn gevestigd in Taiwan, Hong Kong en Sri Lanka. "Op basis van de gecompromitteerde software in kwestie en de afgeleverde malware die surveillancecapaciteiten vertoont, denken we dat de intentie ligt in het verzamelen van inlichtingen over doelwitten betrokken bij de gaminggemeenschap," legt Sanmillan uit.
Kaart - Distributie van NightScout-slachtoffers
In deze specifieke supply-chain aanval diende het updatemechanisme van NoxPlayer als bron van besmetting. Als NoxPlayer bij het opstarten een nieuwere versie van de software detecteert, krijgt de gebruiker een berichtvenster te zien waarin de gebruiker de optie krijgt om deze te installeren en zo de malware af te leveren.
"We hebben voldoende bewijs om te stellen dat de infrastructuur van BigNox werd gecompromitteerd om malware te hosten en zeer waarschijnlijk tevens de API infrastructuur. In sommige gevallen werden extra payloads gedownload door de BigNox updater van door aanvallers gecontroleerde servers," voegt Sanmillan toe.
In totaal werden drie verschillende kwaadaardige update-varianten waargenomen door ESET-onderzoekers. De eerste kwaadaardige updatevariant lijkt niet eerder te zijn gedocumenteerd en heeft voldoende mogelijkheden om zijn slachtoffers te monitoren. De tweede updatevariant, in lijn met de eerste, werd gespot toen deze werd gedownload van legitieme BigNox-infrastructuur. De ingezette uiteindelijke payload was een exemplaar van Gh0st RAT (met keylogger-mogelijkheden), ook veel gebruikt door bedreigingsactoren.
De derde variant, PoisonIvy RAT - een remote access tool populair bij cybercriminelen - werd pas ontdekt bij activiteiten na de eerste schadelijke updates en werd gedownload via door aanvallers gecontroleerde infrastructuur.
ESET heeft gelijkenissen opgemerkt tussen loaders die onze onderzoekers in het verleden hebben gemonitord en sommige van deze gebruikt in Operation NightScout. De overeenkomsten die we zien hebben betrekking op gevallen die zijn ontdekt in een inbreuk op de supply-chain van een website van het presidentiële kantoor van Myanmar in 2018, en begin 2020 bij een inbraak in een universiteit in Hongkong.
"Voor alle zekerheid is het verstandig om, in geval van inbraak, een standaard herinstallatie uit te voeren vanaf schone software. Voor niet-geïnfecteerde NoxPlayer-gebruikers geldt: download geen updates totdat BigNox een melding stuurt dat ze de dreiging hebben gemitigeerd, verder zou de beste handeling voor nu zijn om de software te verwijderen", adviseert Sanmillan.
Lees voor meer technische details over Operation NightScout de blogpost “Operation NightScout: Supply-chain attack targets online gaming in Asia” op WeLiveSecurity.
Update (3 februari 2021):
Na publicatie van ons onderzoek heeft BigNox contact opgenomen om te zeggen dat hun oorspronkelijke ontkenning van de inbraak een misverstand van hun kant was en dat ze sindsdien de volgende stappen hebben genomen om de beveiliging voor hun gebruikers te verbeteren:
- uitsluitend HTTPS gebruiken voor het leveren van software-updates om de risico's van domein-hijacking en Man-in-the-Middle (MitM)-aanvallen te minimaliseren
- verificatie van de integriteit van bestanden door middel van MD5 hashing en handtekeningcontroles
- extra maatregelen te nemen, met name versleuteling van gevoelige gegevens, om te voorkomen dat de persoonlijke gegevens van gebruikers worden blootgesteld
BigNox heeft eveneens verklaard dat ze de laatste bestanden naar de updateserver voor NoxPlayer hebben gepushed en dat NoxPlayer bij het opstarten nu een controle zal uitvoeren van de programmabestanden die eerder op de machines van de gebruikers werden geïnstalleerd. ESET is niet aansprakelijk voor de juistheid van de door BigNox verstrekte informatie.
Over ESET
Al meer dan 30 jaar ontwikkelt ESET® toonaangevende IT-beveiligingssoftware en -diensten voor bedrijven en consumenten over de hele wereld. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf uit de Europese Unie met oplossingen variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. ESET beschermt en monitort 24/7 op de achtergrond en werkt beveiliging in real-time bij om gebruikers veilig te houden en bedrijven zonder onderbreking te laten werken. Evoluerende bedreigingen vereisen een evoluerend IT-beveiligingsbedrijf dat veilig gebruik van technologie mogelijk maakt. Dit wordt ondersteund door ESET's R&D centra wereldwijd, die zich inzetten voor onze gezamenlijke toekomst. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook, Instagram en Twitter.