NSPX30 Spyware
Surgiu um ator de ameaça não identificado associado à China, envolvido em vários ataques Adversary-in-the-Middle (AitM). Esses ataques envolvem o sequestro de solicitações de atualização de software legítimo com a intenção de fornecer um implante sofisticado conhecido como NSPX30. Os pesquisadores estão monitorando esse grupo de ameaças persistentes avançadas (APT), identificando-o como ‘Blackwood’. As descobertas sugerem que este grupo de crimes cibernéticos está operacional pelo menos desde 2018.
O implante NSPX30 foi detectado em casos em que foi implantado por meio de mecanismos de atualização de softwares conhecidos, incluindo Tencent QQ, WPS Office e Sogou Pinyin. Os alvos destes ataques são empresas envolvidas na produção, comércio e engenharia na China e no Japão. Além disso, indivíduos na China, no Japão e no Reino Unido também foram afetados por estes ataques AitM.
Índice
O NSPX30 Spyware é uma Ameaça com Multicomponentes
O NSPX30 representa um implante sofisticado de vários estágios que compreende vários componentes, incluindo conta-gotas, instalador, carregadores, orquestrador e backdoor. O backdoor e o orquestrador possuem conjuntos distintos de plug-ins. A arquitetura do implante foi estrategicamente projetada para aproveitar os recursos de interceptação de pacotes, permitindo que os operadores NSPX30 ocultem sua infraestrutura de maneira eficaz.
As origens do backdoor, que tem a capacidade adicional de contornar diversas soluções antimalware chinesas por meio de listagem de autopermissão, remontam a um malware anterior conhecido como Projeto Wood, lançado em janeiro de 2005. O Projeto Wood foi criado para coletar informações do sistema. e informações de rede, capturar teclas digitadas e fazer capturas de tela dos sistemas das vítimas.
A base de código do Project Wood serviu de base para vários implantes, dando origem a derivados como o DCM (também conhecido como Dark Spectre) em 2008. Posteriormente, este malware foi empregado em ataques direcionados contra indivíduos de interesse em Hong Kong e na Grande Área da China em 2012 e 2014.
A Cadeia de Ataque para a Implantação do NSPX30 Spyware
O NSPX30 é introduzido através do comprometimento de sistemas que tentam baixar atualizações de software por meio do protocolo HTTP (não criptografado) de servidores legítimos. Este compromisso facilita a implantação de um arquivo DLL dropper.
O conta-gotas prejudicial, iniciado durante o processo de atualização comprometido, gera vários arquivos no disco e inicia a execução de 'RsStub.exe', um binário associado ao software antivírus. Esta etapa explora a vulnerabilidade da primeira ao carregamento lateral de DLL, permitindo o lançamento de 'comx3.dll'.
Posteriormente, 'comx3.dll' serve como carregador, executando um terceiro arquivo chamado 'comx3.dll.txt'. Este arquivo funciona como uma biblioteca instaladora, acionando o próximo estágio da cadeia de ataque, levando à execução do componente orquestrador ('WIN.cfg').
O método específico pelo qual os agentes de ameaças entregam o dropper na forma de atualizações falsas permanece desconhecido. No entanto, os padrões históricos indicam que os agentes de ameaças chineses, como BlackTech, Evasive Panda, Judgment Panda e Mustang Panda, utilizaram roteadores comprometidos como canal de distribuição de malware. Os investigadores sugerem a possibilidade de os atacantes estarem a implementar um implante de rede nas redes das vítimas, visando potencialmente dispositivos de rede vulneráveis, como routers ou gateways.
O NSPX30 Spyware pode Executar Ações Específicas com Base em CXomandos C2
O orquestrador inicia a criação de dois threads: um dedicado à aquisição do backdoor ('msfmtkl.dat') e outro focado no carregamento de seus plugins e incorporação de exclusões para permitir o desvio de soluções antimalware chinesas pelas DLLs do carregador.
Para baixar o backdoor, é feita uma solicitação HTTP para www.baidu[.]com, o mecanismo de busca chinês legítimo de propriedade do Baidu. A solicitação emprega uma string User-Agent não convencional, imitando o Internet Explorer no Windows 98 para disfarçar sua origem. A resposta do servidor é salva em um arquivo e o componente backdoor é então extraído e carregado na memória do sistema.
Como parte do processo de inicialização, o NSPX30 estabelece um soquete de escuta UDP passivo projetado para receber comandos do controlador e facilitar a exfiltração de dados. Isso envolve a provável interceptação de pacotes de consulta DNS para anonimizar sua infraestrutura de Comando e Controle (C2).
As instruções fornecidas ao backdoor permitem várias funcionalidades, incluindo a criação de um shell reverso, coleta de informações de arquivos, encerramento de processos específicos, captura de telas, registro de pressionamentos de teclas e até mesmo desinstalação da máquina infectada.
