برامج التجسس NSPX30

ظهر ممثل تهديد غير معروف مرتبط بالصين، وشارك في العديد من هجمات الخصم في الوسط (AitM). تتضمن هذه الهجمات اختطاف طلبات التحديث من برامج شرعية بهدف تقديم غرسة متطورة تُعرف باسم NSPX30. يراقب الباحثون مجموعة التهديدات المستمرة المتقدمة (APT)، ويطلقون عليها اسم "بلاكوود". تشير النتائج إلى أن مجموعة الجرائم الإلكترونية هذه تعمل منذ عام 2018 على الأقل.

تم اكتشاف غرسة NSPX30 في الحالات التي تم نشرها فيها من خلال آليات تحديث البرامج المعروفة، بما في ذلك Tencent QQ وWPS Office وSogou Pinyin. تستهدف هذه الهجمات الشركات العاملة في مجال التصنيع والتجارة والهندسة في الصين واليابان. بالإضافة إلى ذلك، تأثر الأفراد في الصين واليابان والمملكة المتحدة أيضًا بهجمات AitM هذه.

يعد برنامج التجسس NSPX30 بمثابة تهديد متعدد المكونات

يمثل NSPX30 غرسة متطورة متعددة المراحل تشتمل على مكونات مختلفة، بما في ذلك القطارة، والمثبت، والمحمل، والمنسق، والباب الخلفي. يمتلك كل من الباب الخلفي والمنسق مجموعات متميزة من المكونات الإضافية. تم تصميم بنية البرنامج المزروع بشكل استراتيجي للاستفادة من قدرات اعتراض الحزم، مما يسمح لمشغلي NSPX30 بإخفاء بنيتهم التحتية بشكل فعال.

أصول الباب الخلفي، الذي يتمتع بقدرة إضافية على التحايل على العديد من حلول مكافحة البرامج الضارة الصينية من خلال قائمة السماح الذاتي، يمكن إرجاعها إلى برنامج ضار سابق يُعرف باسم Project Wood، تم تقديمه في يناير 2005. تم تصميم Project Wood لجمع النظام ومعلومات الشبكة، والتقاط ضغطات المفاتيح، والتقاط لقطات شاشة للأنظمة الضحية.

كانت قاعدة بيانات Project Wood بمثابة الأساس للعديد من عمليات الزرع، مما أدى إلى ظهور مشتقات مثل DCM (المعروف أيضًا باسم Dark Spectre) في عام 2008. وفي وقت لاحق، تم استخدام هذه البرامج الضارة في هجمات مستهدفة ضد أفراد مهتمين بهونج كونج ومنطقة الشرق الأوسط الكبرى. منطقة الصين في كل من عامي 2012 و2014.

سلسلة الهجوم لنشر برنامج التجسس NSPX30

تم تقديم NSPX30 من خلال اختراق الأنظمة التي تحاول تنزيل تحديثات البرامج عبر بروتوكول HTTP (غير المشفر) من خوادم شرعية. يسهل هذا الحل الوسط نشر ملف DLL بالقطارة.

يقوم برنامج القطارة المؤذي، الذي بدأ أثناء عملية التحديث المخترقة، بإنشاء ملفات متعددة على القرص ويبدأ في تنفيذ 'RsStub.exe'، وهو ملف ثنائي مرتبط ببرنامج مكافحة الفيروسات. تستغل هذه الخطوة ثغرة أمنية في التحميل الجانبي لـ DLL، مما يتيح تشغيل 'comx3.dll'.

بعد ذلك، يعمل "comx3.dll" كمحمل، حيث يقوم بتنفيذ ملف ثالث يسمى "comx3.dll.txt". يعمل هذا الملف كمكتبة تثبيت، مما يؤدي إلى إطلاق المرحلة التالية من سلسلة الهجوم، مما يؤدي في النهاية إلى تنفيذ مكون المنسق ('WIN.cfg').

لا تزال الطريقة المحددة التي تقوم بها جهات التهديد بتسليم القطارة في شكل تحديثات زائفة غير معروفة. ومع ذلك، تشير الأنماط التاريخية إلى أن جهات التهديد الصينية، مثل BlackTech وEvasive Panda وJudgment Panda وMustang Panda، قد استخدمت أجهزة التوجيه المخترقة كقناة توزيع للبرامج الضارة. ويشير الباحثون إلى احتمال أن يقوم المهاجمون بنشر شبكة مزروعة داخل شبكات الضحايا، ومن المحتمل أن يستهدفوا أجهزة الشبكة الضعيفة مثل أجهزة التوجيه أو البوابات.

يمكن لبرنامج التجسس NSPX30 تنفيذ إجراءات محددة بناءً على أوامر C2

يبدأ المنسق في إنشاء خيطين: أحدهما مخصص للحصول على الباب الخلفي ('msfmtkl.dat') والآخر يركز على تحميل مكوناته الإضافية ودمج الاستثناءات لتمكين تجاوز حلول مكافحة البرامج الضارة الصينية بواسطة ملفات DLL الخاصة بالمحمل.

لتنزيل الباب الخلفي، يتم تقديم طلب HTTP إلى www.baidu[.]com، محرك البحث الصيني الشرعي المملوك لشركة Baidu. يستخدم الطلب سلسلة وكيل مستخدم غير تقليدية، لتقليد Internet Explorer على نظام التشغيل Windows 98 لإخفاء أصله. يتم حفظ استجابة الخادم في ملف، ثم يتم استخراج مكون الباب الخلفي وتحميله في ذاكرة النظام.

كجزء من عملية التهيئة، يقوم NSPX30 بإنشاء مقبس استماع UDP سلبي مصمم لتلقي الأوامر من وحدة التحكم وتسهيل عملية استخراج البيانات. يتضمن ذلك اعتراض حزم استعلام DNS على الأرجح لإخفاء هوية البنية الأساسية للتحكم والتحكم (C2).

تتيح التعليمات المقدمة إلى الباب الخلفي وظائف مختلفة، بما في ذلك إنشاء غلاف عكسي، وجمع معلومات الملف، وإنهاء عمليات معينة، والتقاط لقطات الشاشة، وتسجيل ضغطات المفاتيح، وحتى إلغاء تثبيت نفسه من الجهاز المصاب.