NSPX30 spyware
En uidentificeret trusselsaktør med tilknytning til Kina er dukket op, som har deltaget i adskillige Adversary-in-the-Middle (AitM)-angreb. Disse angreb involverer kapring af opdateringsanmodninger fra legitim software med den hensigt at levere et sofistikeret implantat kendt som NSPX30. Forskere overvåger denne avancerede vedvarende trussel (APT) gruppe og identificerer den som 'Blackwood'. Resultaterne tyder på, at denne cyberkriminalitetsgruppe har været operationel siden mindst 2018.
NSPX30-implantatet er blevet opdaget i tilfælde, hvor det blev implementeret gennem opdateringsmekanismerne i velkendt software, herunder Tencent QQ, WPS Office og Sogou Pinyin. Målene for disse angreb er virksomheder involveret i fremstilling, handel og ingeniørvirksomhed i Kina og Japan. Derudover er enkeltpersoner i Kina, Japan og Storbritannien også blevet ramt af disse AitM-angreb.
Indholdsfortegnelse
NSPX30-spywaren er en multikomponenttrussel
NSPX30 repræsenterer et sofistikeret flertrinsimplantat, der består af forskellige komponenter, herunder en dropper, installatør, læssere, orkestrator og en bagdør. Bagdøren og orkestratoren har hver især forskellige sæt plugins. Implantatets arkitektur var strategisk designet til at udnytte mulighederne for pakkeaflytning, hvilket giver NSPX30-operatører mulighed for effektivt at skjule deres infrastruktur.
Oprindelsen af bagdøren, som har den yderligere kapacitet til at omgå adskillige kinesiske anti-malware-løsninger gennem selv-tillad liste, kan spores tilbage til en tidligere malware kendt som Project Wood, introduceret i januar 2005. Project Wood blev lavet til at samle system og netværksoplysninger, fange tastetryk og tage skærmbilleder af offersystemer.
Kodebasen for Project Wood har tjent som grundlaget for forskellige implantater, hvilket har givet anledning til derivater som DCM (også kendt som Dark Spectre) i 2008. Efterfølgende blev denne malware brugt i målrettede angreb mod enkeltpersoner af interesse i Hong Kong og the Greater. Kina-området i både 2012 og 2014.
Angrebskæde til implementering af NSPX30-spyware
NSPX30 introduceres gennem kompromiset mellem systemer, der forsøger at downloade softwareopdateringer via den (ukrypterede) HTTP-protokol fra legitime servere. Dette kompromis letter implementeringen af en dropper-DLL-fil.
Den sårende dropper, der blev initieret under den kompromitterede opdateringsproces, genererer flere filer på disken og starter udførelsen af 'RsStub.exe', en binær associeret med antivirussoftware. Dette trin udnytter førstnævntes sårbarhed over for DLL-sideindlæsning, hvilket muliggør lanceringen af 'comx3.dll.'
Efterfølgende fungerer 'comx3.dll' som en loader, der udfører en tredje fil ved navn 'comx3.dll.txt.' Denne fil fungerer som et installationsbibliotek, der udløser det næste trin i angrebskæden, hvilket i sidste ende fører til udførelsen af orkestratorkomponenten ('WIN.cfg').
Den specifikke metode, hvormed trusselsaktører leverer dropperen i form af falske opdateringer, er stadig ukendt. Historiske mønstre indikerer dog, at kinesiske trusselsaktører, såsom BlackTech , Evasive Panda, Judgment Panda og Mustang Panda, har brugt kompromitterede routere som en distributionskanal for malware. Forskere foreslår muligheden for, at angriberne implementerer et netværksimplantat i ofrenes netværk, hvilket potentielt er rettet mod sårbare netværksapparater som routere eller gateways.
NSPX30-spywaren kan udføre specifikke handlinger baseret på C2-kommandoer
Orkestratoren initierer oprettelsen af to tråde: en dedikeret til at erhverve bagdøren ('msfmtkl.dat') og den anden fokuseret på at indlæse dens plugins og inkorporere ekskluderinger for at muliggøre omgåelse af kinesiske anti-malware-løsninger af loader-DLL'erne.
For at downloade bagdøren sendes en HTTP-anmodning til www.baidu[.]com, den legitime kinesiske søgemaskine, der ejes af Baidu. Anmodningen anvender en ukonventionel User-Agent-streng, der efterligner Internet Explorer på Windows 98 for at skjule dens oprindelse. Serverens svar gemmes i en fil, og bagdørskomponenten udtrækkes og indlæses i systemets hukommelse.
Som en del af sin initialiseringsproces etablerer NSPX30 et passivt UDP-lyttestik designet til at modtage kommandoer fra controlleren og lette dataeksfiltrering. Dette involverer sandsynligvis aflytning af DNS-forespørgselspakker for at anonymisere dens Command-and-Control (C2) infrastruktur.
Instruktionerne til bagdøren muliggør forskellige funktionaliteter, herunder oprettelse af en omvendt shell, indsamling af filoplysninger, afslutning af specifikke processer, optagelse af skærmbilleder, logning af tastetryk og endda afinstallation af sig selv fra den inficerede maskine.
