官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
根据外媒消息,今年1月,BigNox的基础设施遭到了破坏,并在一场针对性很强的供应链攻击中,通过夜神模拟器的更新机制,向亚洲5位受害者定向发送了恶意软件。
夜神模拟器与BigNox公司
夜神模拟器(NoxPlayer)是一款非常知名的安卓模拟器,可以让玩家在Windows或MacOS电脑上进行手游,也是其制作公司BigNox的主要产品。BigNox公司总部在香港。根据其官网数据,BigNox在150多个国家中拥有超过1.5亿用户,主要集中在亚洲。BigNox曾在2019年撰写了一篇有关VPN与夜神模拟器结合使用的博客,以表明该公司对其用户隐私的关注。
事件始末
BigNox公司的这起攻击事件由Slovak安全公司的ESET团队在1月25日发现的。他们表示,从收集到的证据来看,该公司的官方API(api.bignox.com)和文件托管服务器(res06.bignox.com)遭到了破解,黑客利用此访问权限,篡改了夜神模拟器在API服务器上更新的下载URL,以向夜神模拟器用户发送恶意软件。
根据ESET在2月1日发布的报告,他们发现了三款不同的系列恶意软件,它们通过定向的更新以选定受害者,窃取的是受害者电脑中监控相关的权限,无任何经济收益迹象。尽管有证据表明,攻击者至少从2020年9月就开始在BigNox上活动,但ESET表示,这些活动并没有针对该公司所有用户,而是集中在了某些特定的机器上,这表明是一场具有高度针对性的攻击。截至到目前,只有台湾、香港和斯里兰卡的五位受害者收到了带有恶意软件的夜神模拟器更新,受害者之间的关联尚未找到,黑客身份也未被确认。这可能是一次少见的针对游戏玩家的网络间谍活动。
ESET:亚洲受害者分布地图
后续及相关
ESET就此事已经向BigNox公司取得联系,并提供了自测是否受到攻击的检测方式与删除恶意软件的方法,至今该公司的发言人没有就此事公开回应;而ESET表示BigNox否认遭到黑客攻击。ESET称,他们排除了此事与经济利益组织相关,会继续进行调查。ESET还发现,本次攻击中的三种恶意软件株和一个被称为Stellera的组织有明显关联,即这三种恶意软件与2018年缅甸总统办公室供应链入侵事件、2020年初一所香港大学入侵事件的恶意软件有“相似之处“。他们后续会做出一份关于Stellera组织的报告。
这也是ESET在近两个月内发现的第三起供应链攻击事件。第一个事件为蒙古政府机构常用消息传递软件Able Desktop被破坏,第二个事件是越南政府的官方认证机构(VGCA)客户端被植入恶意软件。