Programari espia NSPX30
Ha sorgit un actor d'amenaça no identificat associat a la Xina que ha participat en diversos atacs de l'Adversary-in-the-Middle (AitM). Aquests atacs impliquen segrestar sol·licituds d'actualització de programari legítim amb la intenció de lliurar un implant sofisticat conegut com NSPX30. Els investigadors estan monitoritzant aquest grup d'amenaça persistent avançada (APT), identificant-lo com "Blackwood". Les troballes suggereixen que aquest grup de ciberdelinqüència ha estat operatiu almenys des del 2018.
L'implant NSPX30 s'ha detectat en casos en què es va desplegar mitjançant els mecanismes d'actualització de programari conegut, com ara Tencent QQ, WPS Office i Sogou Pinyin. Els objectius d'aquests atacs són empreses que participen en la fabricació, el comerç i l'enginyeria a la Xina i el Japó. A més, persones a la Xina, el Japó i el Regne Unit també s'han vist afectades per aquests atacs d'AitM.
Taula de continguts
El programari espia NSPX30 és una amenaça multicomponent
NSPX30 representa un sofisticat implant multietapa que inclou diversos components, incloent un comptagotes, instal·lador, carregadors, orquestrador i una porta posterior. La porta del darrere i l'orquestrador tenen conjunts diferents de connectors. L'arquitectura de l'implant es va dissenyar estratègicament per aprofitar les capacitats d'intercepció de paquets, permetent als operadors NSPX30 ocultar la seva infraestructura de manera eficaç.
Els orígens de la porta del darrere, que té la capacitat addicional d'eludir diverses solucions anti-malware xineses mitjançant la llista d'autorització automàtica, es remunten a un programari maliciós anterior conegut com Project Wood, introduït el gener de 2005. Project Wood va ser creat per reunir el sistema i informació de xarxa, captureu les pulsacions de tecles i feu captures de pantalla dels sistemes víctimes.
La base de codi del Projecte Wood ha servit de base per a diversos implants, donant lloc a derivats com el DCM (també conegut com a Dark Spectre) l'any 2008. Posteriorment, aquest programari maliciós es va utilitzar en atacs dirigits contra persones d'interès a Hong Kong i el Greater. Àrea de la Xina tant el 2012 com el 2014.
Cadena d'atac per al desplegament del programari espia NSPX30
NSPX30 s'introdueix mitjançant el compromís de sistemes que intenten descarregar actualitzacions de programari mitjançant el protocol HTTP (no xifrat) des de servidors legítims. Aquest compromís facilita el desplegament d'un fitxer DLL dropper.
El comptegotes perjudicial, iniciat durant el procés d'actualització compromès, genera diversos fitxers al disc i inicia l'execució de "RsStub.exe", un binari associat al programari antivirus. Aquest pas aprofita la vulnerabilitat del primer a la càrrega lateral de DLL, permetent el llançament de "comx3.dll".
Posteriorment, "comx3.dll" serveix com a carregador, executant un tercer fitxer anomenat "comx3.dll.txt". Aquest fitxer funciona com a biblioteca d'instal·lador, activant la següent etapa de la cadena d'atac, que finalment condueix a l'execució del component orquestrator ('WIN.cfg').
El mètode específic mitjançant el qual els actors de l'amenaça entreguen el comptagotes en forma d'actualitzacions falses segueix sent desconegut. Tanmateix, els patrons històrics indiquen que els actors d'amenaça xinesos, com BlackTech , Evasive Panda, Judgment Panda i Mustang Panda, han utilitzat encaminadors compromesos com a canal de distribució de programari maliciós. Els investigadors suggereixen la possibilitat que els atacants estiguin desplegant un implant de xarxa a les xarxes de les víctimes, potencialment dirigint-se a aparells de xarxa vulnerables com encaminadors o passarel·les.
El programari espia NSPX30 pot realitzar accions específiques basades en ordres C2
L'orquestrador inicia la creació de dos fils: un dedicat a l'adquisició de la porta posterior ('msfmtkl.dat') i l'altre centrat a carregar els seus connectors i incorporar exclusions per permetre eludir les solucions anti-malware xineses per part de les DLL del carregador.
Per descarregar la porta del darrere, es fa una sol·licitud HTTP a www.baidu[.]com, el motor de cerca xinès legítim propietat de Baidu. La sol·licitud utilitza una cadena User-Agent no convencional, que imita Internet Explorer a Windows 98 per dissimular el seu origen. La resposta del servidor es desa en un fitxer i el component de la porta posterior s'extreu i es carrega a la memòria del sistema.
Com a part del seu procés d'inicialització, NSPX30 estableix un sòcol d'escolta UDP passiu dissenyat per rebre ordres del controlador i facilitar l'exfiltració de dades. Això implica probablement interceptar paquets de consulta DNS per anonimitzar la seva infraestructura de comandament i control (C2).
Les instruccions proporcionades a la porta del darrere permeten diverses funcionalitats, com ara la creació d'un intèrpret d'ordres invers, la recopilació d'informació de fitxers, la finalització de processos específics, la captura de captures de pantalla, el registre de pulsacions de tecla i fins i tot la desinstal·lació de la màquina infectada.
