Шпионски софтуер NSPX30
Появи се неидентифициран актьор на заплаха, свързан с Китай, участващ в няколко атаки Adversary-in-the-Middle (AitM). Тези атаки включват отвличане на заявки за актуализация от законен софтуер с намерението да се достави сложен имплант, известен като NSPX30. Изследователите наблюдават тази напреднала постоянна заплаха (APT) група, идентифицирайки я като „Blackwood“. Констатациите показват, че тази група за киберпрестъпления е действала поне от 2018 г.
Имплантът NSPX30 е открит в случаи, когато е бил внедрен чрез механизмите за актуализиране на добре познат софтуер, включително Tencent QQ, WPS Office и Sogou Pinyin. Целите на тези атаки са компании, занимаващи се с производство, търговия и инженеринг в Китай и Япония. Освен това хора в Китай, Япония и Обединеното кралство също са били засегнати от тези AitM атаки.
Съдържание
Шпионският софтуер NSPX30 е многокомпонентна заплаха
NSPX30 представлява усъвършенстван многоетапен имплант, състоящ се от различни компоненти, включително капкомер, инсталатор, зареждащи устройства, оркестратор и задна врата. Бекдорът и оркестраторът притежават различни набори от плъгини. Архитектурата на импланта е стратегически проектирана да използва възможностите за прихващане на пакети, позволявайки на операторите на NSPX30 да скрият ефективно своята инфраструктура.
Произходът на задната врата, която има допълнителната способност да заобикаля няколко китайски анти-зловреден софтуер решения чрез самопозволяващ списък, може да бъде проследен назад до по-ранен зловреден софтуер, известен като Project Wood, представен през януари 2005 г. Project Wood е създаден да събира система и мрежова информация, заснемане на натискания на клавиши и правене на екранни снимки на жертвени системи.
Кодовата база на Project Wood послужи като основа за различни импланти, пораждайки производни като DCM (известен също като Dark Spectre) през 2008 г. Впоследствие този злонамерен софтуер беше използван в целенасочени атаки срещу лица, представляващи интерес в Хонконг и по-широко Районът на Китай през 2012 г. и 2014 г.
Верига от атаки за внедряването на шпионския софтуер NSPX30
NSPX30 се въвежда чрез компрометиране на системи, които се опитват да изтеглят софтуерни актуализации чрез (некриптиран) HTTP протокол от легитимни сървъри. Този компромис улеснява внедряването на капкомерен DLL файл.
Вредният капкомер, иницииран по време на компрометирания процес на актуализиране, генерира множество файлове на диска и инициира изпълнението на „RsStub.exe“, двоичен файл, свързан с антивирусен софтуер. Тази стъпка използва уязвимостта на първата към странично зареждане на DLL, което позволява стартирането на „comx3.dll“.
Впоследствие „comx3.dll“ служи като товарач, изпълнявайки трети файл с име „comx3.dll.txt“. Този файл функционира като библиотека за инсталиране, задействайки следващия етап от веригата на атаката, което в крайна сметка води до изпълнението на компонента оркестратор („WIN.cfg“).
Конкретният метод, чрез който участниците в заплахата доставят капкомер под формата на фалшиви актуализации, остава неизвестен. Историческите модели обаче показват, че китайските заплахи, като BlackTech , Evasive Panda, Judgement Panda и Mustang Panda, са използвали компрометирани рутери като канал за разпространение на зловреден софтуер. Изследователите предполагат възможността нападателите да внедряват мрежов имплант в мрежите на жертвите, потенциално насочени към уязвими мрежови устройства като рутери или шлюзове.
Шпионският софтуер NSPX30 може да изпълнява специфични действия въз основа на C2 команди
Оркестраторът инициира създаването на две нишки: едната е посветена на придобиването на задната врата ('msfmtkl.dat'), а другата е фокусирана върху зареждането на нейните плъгини и включването на изключения, за да се даде възможност за заобикаляне на китайски анти-злонамерен софтуер решения от DLL за зареждане.
За да изтеглите задната врата, се прави HTTP заявка към www.baidu[.]com, законната китайска търсачка, собственост на Baidu. Заявката използва нетрадиционен низ на User-Agent, имитиращ Internet Explorer на Windows 98, за да прикрие своя произход. Отговорът на сървъра се записва във файл, а компонентът на задната врата след това се извлича и зарежда в паметта на системата.
Като част от своя процес на инициализация, NSPX30 установява пасивен UDP слушащ сокет, предназначен да получава команди от контролера и да улеснява ексфилтрирането на данни. Това включва вероятно прихващане на пакети с DNS заявки, за да анонимизира своята инфраструктура за командване и управление (C2).
Инструкциите, предоставени на задната врата, позволяват различни функции, включително създаване на обратна обвивка, събиране на информация за файлове, прекратяване на конкретни процеси, заснемане на екранни снимки, регистриране на натискания на клавиши и дори деинсталиране от заразената машина.
