Hacker group inserted malware in NoxPlayer Android emulator
قامت مجموعة قرصنة غامضة باختراق البنية التحتية للخادم لـ Android emulator الشهير وقدمت برامج ضارة إلى عدد قليل من الضحايا في جميع أنحاء آسيا في هجوم سلسلة التوريد عالي الاستهداف.
تم اكتشاف الهجوم من قبل شركة الأمن السلوفاكية ESET في 25 يناير، الأسبوع الماضي، واستهدف BigNox، وهي شركة تصنع NoxPlayer، عميل برمجي لمحاكاة تطبيقات Android على أجهزة كمبيوتر سطح المكتب التي تعمل بنظام Windows أو macOS.
تقول ESET أنه بناءً على الأدلة التي جمعها باحثوها، قام أحد الجهات الفاعلة بالتهديد بخرق أحد واجهة برمجة التطبيقات الرسمية للشركة (api.bignox.com) وخوادم استضافة الملفات (res06.bignox.com). باستخدام هذا الوصول، تلاعب المتسللون بعنوان URL الخاص بتنزيل تحديثات NoxPlayer في خادم واجهة برمجة التطبيقات من أجل توصيل البرامج الضارة إلى مستخدمي NoxPlayer.
قالت ESET في تقرير تمت مشاركته اليوم مع ZDNet: "تم رصد ثلاث عائلات مختلفة من البرامج الضارة يتم توزيعها من تحديثات خبيثة مخصصة إلى ضحايا مختارين، مع عدم وجود أي علامة على الاستفادة من أي مكاسب مالية، ولكن بالأحرى قدرات متعلقة بالمراقبة".
على الرغم من الأدلة التي تشير إلى أن المهاجمين لديهم إمكانية الوصول إلى خوادم BigNox منذ سبتمبر 2020 على الأقل، إلا أن ESET قالت إن ممثل التهديد لم يستهدف جميع مستخدمي الشركة ولكنه ركز بدلاً من ذلك على أجهزة معينة، مما يشير إلى أن هذا كان هجومًا شديد الاستهداف يبحث عن إصابة فقط فئة معينة من المستخدمين.
حتى اليوم، واستنادًا إلى القياس عن بُعد الخاص بها، قالت ESET إنها رصدت تحديثات NoxPlayer التي تغلب عليها البرامج الضارة يتم تسليمها إلى خمسة ضحايا فقط، وتقع في تايوان وهونغ كونغ وسريلانكا.
تم اكتشاف الهجوم من قبل شركة الأمن السلوفاكية ESET في 25 يناير، الأسبوع الماضي، واستهدف BigNox، وهي شركة تصنع NoxPlayer، عميل برمجي لمحاكاة تطبيقات Android على أجهزة كمبيوتر سطح المكتب التي تعمل بنظام Windows أو macOS.
تقول ESET أنه بناءً على الأدلة التي جمعها باحثوها، قام أحد الجهات الفاعلة بالتهديد بخرق أحد واجهة برمجة التطبيقات الرسمية للشركة (api.bignox.com) وخوادم استضافة الملفات (res06.bignox.com). باستخدام هذا الوصول، تلاعب المتسللون بعنوان URL الخاص بتنزيل تحديثات NoxPlayer في خادم واجهة برمجة التطبيقات من أجل توصيل البرامج الضارة إلى مستخدمي NoxPlayer.
قالت ESET في تقرير تمت مشاركته اليوم مع ZDNet: "تم رصد ثلاث عائلات مختلفة من البرامج الضارة يتم توزيعها من تحديثات خبيثة مخصصة إلى ضحايا مختارين، مع عدم وجود أي علامة على الاستفادة من أي مكاسب مالية، ولكن بالأحرى قدرات متعلقة بالمراقبة".
على الرغم من الأدلة التي تشير إلى أن المهاجمين لديهم إمكانية الوصول إلى خوادم BigNox منذ سبتمبر 2020 على الأقل، إلا أن ESET قالت إن ممثل التهديد لم يستهدف جميع مستخدمي الشركة ولكنه ركز بدلاً من ذلك على أجهزة معينة، مما يشير إلى أن هذا كان هجومًا شديد الاستهداف يبحث عن إصابة فقط فئة معينة من المستخدمين.
حتى اليوم، واستنادًا إلى القياس عن بُعد الخاص بها، قالت ESET إنها رصدت تحديثات NoxPlayer التي تغلب عليها البرامج الضارة يتم تسليمها إلى خمسة ضحايا فقط، وتقع في تايوان وهونغ كونغ وسريلانكا.
أصدرت ESET اليوم تقريرًا يتضمن تفاصيل فنية لـ NoxPlayers لتحديد ما إذا كانوا قد تلقوا تحديثًا مرتبطًا بالبرامج الضارة وكيفية إزالة البرامج الضارة. لم يرد متحدث باسم BigNox على طلب للتعليق.
هذا الحادث هو أيضًا ثالث هجوم على سلسلة التوريد تكتشفه ESET خلال الشهرين الماضيين. الأول هو برنامج Able Desktop، وهو برنامج تستخدمه العديد من الوكالات الحكومية المنغولية. والثاني هو حالة VGCA، سلطة التصديق الرسمية للحكومة الفيتنامية. لم يربط باحثو ESET رسميًا هذا الحادث بمجموعة قرصنة معروفة. من غير الواضح ما إذا كانت تسوية NoxPlayer هي عمل مجموعة ترعاها الدولة أو مجموعة ذات دوافع مالية تتطلع إلى تسوية مطوري الألعاب.
ومع ذلك، أوضحت ESET أن سلالات البرامج الضارة الثلاثة التي تم نشرها عبر تحديثات NoxPlayer الخبيثة لها "أوجه تشابه similarities" مع سلالات البرامج الضارة الأخرى المستخدمة في حل وسط بشأن سلسلة التوريد على موقع المكتب الرئاسي في ميانمار في عام 2018 وفي أوائل عام 2020 في اختراق إحدى جامعات هونغ كونغ.
هذا الحادث هو أيضًا ثالث هجوم على سلسلة التوريد تكتشفه ESET خلال الشهرين الماضيين. الأول هو برنامج Able Desktop، وهو برنامج تستخدمه العديد من الوكالات الحكومية المنغولية. والثاني هو حالة VGCA، سلطة التصديق الرسمية للحكومة الفيتنامية. لم يربط باحثو ESET رسميًا هذا الحادث بمجموعة قرصنة معروفة. من غير الواضح ما إذا كانت تسوية NoxPlayer هي عمل مجموعة ترعاها الدولة أو مجموعة ذات دوافع مالية تتطلع إلى تسوية مطوري الألعاب.
ومع ذلك، أوضحت ESET أن سلالات البرامج الضارة الثلاثة التي تم نشرها عبر تحديثات NoxPlayer الخبيثة لها "أوجه تشابه similarities" مع سلالات البرامج الضارة الأخرى المستخدمة في حل وسط بشأن سلسلة التوريد على موقع المكتب الرئاسي في ميانمار في عام 2018 وفي أوائل عام 2020 في اختراق إحدى جامعات هونغ كونغ.
