Spyware NSPX30
Objevil se neidentifikovaný aktér hrozby spojený s Čínou, který se zapojil do několika útoků typu Adversary-in-the-Middle (AitM). Tyto útoky zahrnují únos žádostí o aktualizaci z legitimního softwaru s úmyslem dodat sofistikovaný implantát známý jako NSPX30. Výzkumníci sledují tuto skupinu pokročilé perzistentní hrozby (APT) a identifikují ji jako „Blackwood“. Zjištění naznačují, že tato skupina pro počítačovou kriminalitu funguje minimálně od roku 2018.
Implantát NSPX30 byl detekován v případech, kdy byl nasazen prostřednictvím aktualizačních mechanismů známého softwaru, včetně Tencent QQ, WPS Office a Sogou Pinyin. Cílem těchto útoků jsou společnosti zabývající se výrobou, obchodováním a strojírenstvím v Číně a Japonsku. Kromě toho byli těmito útoky AitM postiženi také jednotlivci v Číně, Japonsku a Spojeném království.
Obsah
Spyware NSPX30 je vícesložková hrozba
NSPX30 představuje sofistikovaný vícestupňový implantát obsahující různé komponenty, včetně kapátka, instalačního programu, nakladačů, orchestrátoru a zadních vrátek. Zadní vrátka a orchestrátor mají odlišné sady zásuvných modulů. Architektura implantátu byla strategicky navržena tak, aby využívala schopnosti zachycování paketů a umožňovala operátorům NSPX30 efektivně skrývat svou infrastrukturu.
Původ zadních vrátek, které mají další schopnost obejít několik čínských antimalwarových řešení prostřednictvím self-allow výpisu, lze vysledovat zpět k dřívějšímu malwaru známému jako Project Wood, který byl představen v lednu 2005. Project Wood byl vytvořen pro shromažďování systému a informace o síti, zachycovat stisknuté klávesy a pořizovat snímky obrazovek systémů obětí.
Kódová základna projektu Wood sloužila jako základ pro různé implantáty a v roce 2008 dala vzniknout derivátům, jako je DCM (také známý jako Dark Spectre). Následně byl tento malware použit v cílených útocích proti jednotlivcům zájmu v Hongkongu a okolí. Oblast Číny v letech 2012 a 2014.
Útočný řetězec pro nasazení spywaru NSPX30
NSPX30 je zaveden kompromitováním systémů, které se pokoušejí stahovat aktualizace softwaru prostřednictvím (nešifrovaného) protokolu HTTP z legitimních serverů. Tento kompromis usnadňuje nasazení kapátkového DLL souboru.
Škodlivé kapátko, spuštěné během kompromitovaného aktualizačního procesu, generuje více souborů na disku a iniciuje spuštění 'RsStub.exe', binárního souboru spojeného s antivirovým softwarem. Tento krok využívá zranitelnost prvně jmenovaného k bočnímu načítání DLL a umožňuje spuštění 'comx3.dll.'
Následně 'comx3.dll' slouží jako zavaděč a spouští třetí soubor s názvem 'comx3.dll.txt.' Tento soubor funguje jako instalační knihovna, která spouští další fázi řetězce útoků, což nakonec vede ke spuštění komponenty orchestrátoru ('WIN.cfg').
Konkrétní metoda, kterou aktéři hrozby doručují dropper ve formě falešných aktualizací, zůstává neznámá. Historické vzorce však naznačují, že čínští aktéři hrozeb, jako jsou BlackTech , Evasive Panda, Judgment Panda a Mustang Panda, využili kompromitované routery jako distribuční kanál pro malware. Výzkumníci naznačují možnost, že útočníci nasazují síťový implantát v sítích obětí a potenciálně se zaměřují na zranitelná síťová zařízení, jako jsou směrovače nebo brány.
Spyware NSPX30 může provádět specifické akce na základě příkazů C2
Orchestrátor iniciuje vytvoření dvou vláken: jedno se věnuje získávání zadních vrátek ('msfmtkl.dat') a druhé se zaměřuje na načítání jeho zásuvných modulů a začleňování výjimek, které umožňují obcházení čínských antimalwarových řešení pomocí zavaděčů DLL.
Ke stažení zadních vrátek se odešle požadavek HTTP na www.baidu[.]com, legitimní čínský vyhledávač vlastněný Baidu. Požadavek využívá nekonvenční řetězec User-Agent, který napodobuje Internet Explorer ve Windows 98, aby zakryl svůj původ. Odpověď serveru je uložena do souboru a komponenta backdoor je poté extrahována a nahrána do paměti systému.
Jako součást procesu inicializace NSPX30 zřizuje pasivní naslouchací zásuvku UDP navrženou pro příjem příkazů z řadiče a usnadnění exfiltrace dat. To pravděpodobně zahrnuje zachycování paketů dotazů DNS za účelem anonymizace její infrastruktury Command-and-Control (C2).
Pokyny poskytované zadním vrátkám umožňují různé funkce, včetně vytvoření reverzního shellu, shromažďování informací o souborech, ukončování konkrétních procesů, pořizování snímků obrazovky, protokolování stisknutých kláves a dokonce i odinstalování z infikovaného počítače.
