{"id":244101,"date":"2021-02-02T00:03:00","date_gmt":"2021-02-01T23:03:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=244101"},"modified":"2022-09-07T22:01:40","modified_gmt":"2022-09-07T20:01:40","slug":"operation-nightscout-supply-chain-hack-zielt-auf-online-gaming-in-asien","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/02\/02\/operation-nightscout-supply-chain-hack-zielt-auf-online-gaming-in-asien\/","title":{"rendered":"Operation NightScout: Supply-Chain-Hack zielt auf Online-Gaming in Asien"},"content":{"rendered":"

Sicherheitsforscher von ESET sind einem neuen Angriff auf eine Lieferkette (Suppy Chain) auf die Spur gekommen. Der kostenlose Android-Emulator (NoxPlayer) ist mit Spyware infiziert. Die Angreifer zielen vor allem auf Online-Gamer in Asien.<\/p>\n

<\/p>\n

Die Operation NightScout<\/h2>\n

\"\"Die Sicherheitsforscher von ESET haben das Ganze Operation NightScout getauft und beschreiben diese im Beitrag Operation NightScout: Supply\u2011chain attack targets online gaming in Asia<\/a>. Entdeckt wurde das Ganze im Januar 2021, nachdem es Cyberkriminellen gelungen war, in einem neuen Supply-Chain-Angriff den Update-Mechanismus des NoxPlayer zu kompromittieren. <\/p>\n

Erste Anzeichen f\u00fcr eine Kompromittierung lieferte die ESET-Telemetrie bereits im September 2020. Diese Aktivit\u00e4t setzte sich fort, bis wir die ESET-Sicherheitsforscher am 25. Januar 2021 explizit b\u00f6sartige Aktivit\u00e4ten entdeckten. <\/p>\n

Android-Emulator NoxPlayer kompromittiert<\/h2>\n

Beim NoxPlayer handelt es sich um einen Android-Emulator f\u00fcr PCs und Macs, der zur Produktpalette des in Honkong ans\u00e4ssigen Anbieters BigNox ist. Der NoxPlayer hat \u00fcber 150 Millionen Nutzern weltweit, wie ESET schreibt. Diese Software wird in der Regel von Gamern genutzt, um Android-Handyspiele auf dem PC zu spielen.<\/p>\n

Die Sicherheitsforscher konnten gleich drei verschiedene Malware-Familien entdecken. Diese werden \u00fcber ma\u00dfgeschneiderte infizierte Updates der NoxPlayer-Software an ausgew\u00e4hlte Opfer verteilt. Dabei gibt es keine Anzeichen daf\u00fcr, dass die Hacker mit den Angriffen finanzielle Gewinne erzielen m\u00f6chten, es geht vor allem um \u00dcberwachungsfunktionen.<\/p>\n

Die Sicherheitsforscher haben \u00c4hnlichkeiten zwischen den von ihnen bereits in der Vergangenheit beobachteten Loadern und einigen der bei dieser Operation verwendeten entdeckt. Beispielsweise werden Instanzen, die 2018 bei einer Kompromittierenung der Lieferkette auf der Website des Pr\u00e4sidialamtes von Myanmar und Anfang 2020 bei einem Eindringen in eine Universit\u00e4t in Hongkong entdeckt wurden.<\/p>\n

BixNox streitet alles ab<\/h2>\n

Die Sicherheitsforscher haben dann BigNox kontaktiert. Das Unternehmen hat jedoch bestritten, von einem Hack und einer Infektion der Supply Chain betroffen zu sein. Es wurde dem Unternehmen auch Unterst\u00fctzung angeboten, \u00fcber die Offenlegung hinaus zu helfen, falls man sich entscheidet, eine interne Untersuchung durchzuf\u00fchren.<\/p>\n

\n

BigNox ist ein Unternehmen mit Sitz in Hongkong, das verschiedene Produkte anbietet. Dazu geh\u00f6rt auch der NoxPlayer Android-Emulator f\u00fcr PCs und Macs. Die Website des Unternehmens gibt dort an, dass es mehr als 150 Millionen Benutzer in mehr als 150 L\u00e4ndern die SOftware verwenden. Der Schwerpunkt der BigNox-Nutzerschaft befinde sich allerdings vorwiegend in asiatischen L\u00e4ndern.<\/p>\n<\/blockquote>\n

Zeichen f\u00fcr eine Kompromittierung<\/h2>\n

Keine Ahnung, ob jemand von euch den NoxPlayer als Android-Emulator  unter Windows oder mac OS verwendet. Um zu pr\u00fcfen, ob man ein infizierten Update erhalten hat, l\u00e4sst sich pr\u00fcfen, ob ein ein laufender Prozess eine aktive Netzwerkverbindung mit bekannten aktiven C&C-Servern hat. Auf infizierten Systemen finden sich folgende Dateien:<\/p>\n