NSPX30 Spyware
Ένας άγνωστος παράγοντας απειλής που σχετίζεται με την Κίνα έχει εμφανιστεί, συμμετέχοντας σε πολλές επιθέσεις Adversary-in-the-Middle (AitM). Αυτές οι επιθέσεις περιλαμβάνουν αεροπειρατεία αιτημάτων ενημέρωσης από νόμιμο λογισμικό με σκοπό την παράδοση ενός εξελιγμένου εμφυτεύματος γνωστό ως NSPX30. Οι ερευνητές παρακολουθούν αυτήν την ομάδα προηγμένης επίμονης απειλής (APT), προσδιορίζοντάς την ως «Blackwood». Τα ευρήματα δείχνουν ότι αυτή η ομάδα εγκλήματος στον κυβερνοχώρο λειτουργεί τουλάχιστον από το 2018.
Το εμφύτευμα NSPX30 έχει εντοπιστεί σε περιπτώσεις όπου αναπτύχθηκε μέσω των μηχανισμών ενημέρωσης γνωστού λογισμικού, συμπεριλαμβανομένων των Tencent QQ, WPS Office και Sogou Pinyin. Οι στόχοι αυτών των επιθέσεων είναι εταιρείες που ασχολούνται με την κατασκευή, το εμπόριο και τη μηχανική στην Κίνα και την Ιαπωνία. Επιπλέον, άτομα στην Κίνα, την Ιαπωνία και το Ηνωμένο Βασίλειο έχουν επίσης επηρεαστεί από αυτές τις επιθέσεις AitM.
Πίνακας περιεχομένων
Το NSPX30 Spyware είναι μια απειλή πολλαπλών συστατικών
Το NSPX30 αντιπροσωπεύει ένα εξελιγμένο εμφύτευμα πολλαπλών σταδίων που περιλαμβάνει διάφορα εξαρτήματα, όπως σταγονόμετρο, συσκευή εγκατάστασης, φορτωτές, ενορχηστρωτή και κερκόπορτα. Η κερκόπορτα και ο ενορχηστρωτής διαθέτουν το καθένα ξεχωριστά σύνολα πρόσθετων. Η αρχιτεκτονική του εμφυτεύματος σχεδιάστηκε στρατηγικά για να αξιοποιεί τις δυνατότητες υποκλοπής πακέτων, επιτρέποντας στους χειριστές NSPX30 να κρύβουν αποτελεσματικά την υποδομή τους.
Η προέλευση του backdoor, η οποία έχει την πρόσθετη δυνατότητα παράκαμψης πολλών κινεζικών λύσεων κατά του κακόβουλου λογισμικού μέσω καταχώρισης self-allow, μπορεί να εντοπιστεί σε ένα παλαιότερο κακόβουλο λογισμικό γνωστό ως Project Wood, που παρουσιάστηκε τον Ιανουάριο του 2005. Το Project Wood δημιουργήθηκε για να συγκεντρώσει σύστημα και πληροφορίες δικτύου, λήψη πλήκτρων και λήψη στιγμιότυπων οθόνης συστημάτων θυμάτων.
Η βάση κωδικών του Project Wood έχει χρησιμεύσει ως βάση για διάφορα εμφυτεύματα, δημιουργώντας παράγωγα όπως το DCM (επίσης γνωστό ως Dark Spectre) το 2008. Στη συνέχεια, αυτό το κακόβουλο λογισμικό χρησιμοποιήθηκε σε στοχευμένες επιθέσεις κατά ατόμων ενδιαφέροντος στο Χονγκ Κονγκ και την Ευρύτερη περιοχή της Κίνας τόσο το 2012 όσο και το 2014.
Αλυσίδα επίθεσης για την ανάπτυξη του Spyware NSPX30
Το NSPX30 εισάγεται μέσω του συμβιβασμού συστημάτων που προσπαθούν να κάνουν λήψη ενημερώσεων λογισμικού μέσω του (μη κρυπτογραφημένου) πρωτοκόλλου HTTP από νόμιμους διακομιστές. Αυτός ο συμβιβασμός διευκολύνει την ανάπτυξη ενός αρχείου DLL dropper.
Το επιβλαβές dropper, που ξεκίνησε κατά τη διαδικασία της παραβιασμένης ενημέρωσης, δημιουργεί πολλά αρχεία στο δίσκο και ξεκινά την εκτέλεση του "RsStub.exe", ενός δυαδικού αρχείου που σχετίζεται με λογισμικό προστασίας από ιούς. Αυτό το βήμα εκμεταλλεύεται την ευπάθεια του πρώτου σε πλευρική φόρτωση DLL, επιτρέποντας την εκκίνηση του 'comx3.dll'.
Στη συνέχεια, το 'comx3.dll' χρησιμεύει ως φόρτωση, εκτελώντας ένα τρίτο αρχείο με το όνομα 'comx3.dll.txt.' Αυτό το αρχείο λειτουργεί ως βιβλιοθήκη προγράμματος εγκατάστασης, ενεργοποιώντας το επόμενο στάδιο της αλυσίδας επίθεσης, που οδηγεί τελικά στην εκτέλεση του στοιχείου ενορχηστρωτή («WIN.cfg»).
Η συγκεκριμένη μέθοδος με την οποία οι φορείς απειλών παραδίδουν το σταγονόμετρο με τη μορφή ψευδών ενημερώσεων παραμένει άγνωστη. Ωστόσο, ιστορικά μοτίβα υποδεικνύουν ότι οι κινέζοι παράγοντες απειλών, όπως οι BlackTech , Evasive Panda, Judgment Panda και Mustang Panda, έχουν χρησιμοποιήσει παραβιασμένους δρομολογητές ως κανάλι διανομής για κακόβουλο λογισμικό. Οι ερευνητές προτείνουν την πιθανότητα οι εισβολείς να αναπτύσσουν ένα εμφύτευμα δικτύου στα δίκτυα των θυμάτων, στοχεύοντας ενδεχομένως ευάλωτες συσκευές δικτύου όπως δρομολογητές ή πύλες.
Το NSPX30 Spyware μπορεί να εκτελέσει συγκεκριμένες ενέργειες που βασίζονται σε εντολές C2
Ο ενορχηστρωτής ξεκινά τη δημιουργία δύο νημάτων: ένα αφιερωμένο στην απόκτηση της κερκόπορτας ('msfmtkl.dat') και το άλλο επικεντρώθηκε στη φόρτωση των προσθηκών του και στην ενσωμάτωση εξαιρέσεων για να καταστεί δυνατή η παράκαμψη κινεζικών λύσεων κατά του κακόβουλου λογισμικού από τα DLL φόρτωσης.
Για τη λήψη του backdoor, υποβάλλεται ένα αίτημα HTTP στη διεύθυνση www.baidu[.]com, τη νόμιμη κινεζική μηχανή αναζήτησης που ανήκει στην Baidu. Το αίτημα χρησιμοποιεί μια μη συμβατική συμβολοσειρά User-Agent, που μιμείται τον Internet Explorer στα Windows 98 για να συγκαλύψει την προέλευσή του. Η απόκριση του διακομιστή αποθηκεύεται σε ένα αρχείο και στη συνέχεια εξάγεται και φορτώνεται το στοιχείο backdoor στη μνήμη του συστήματος.
Ως μέρος της διαδικασίας αρχικοποίησής του, το NSPX30 δημιουργεί μια παθητική υποδοχή ακρόασης UDP σχεδιασμένη να λαμβάνει εντολές από τον ελεγκτή και να διευκολύνει την εξαγωγή δεδομένων. Αυτό περιλαμβάνει πιθανή υποκλοπή πακέτων ερωτημάτων DNS για την ανωνυμοποίηση της υποδομής Command-and-Control (C2).
Οι οδηγίες που παρέχονται στο backdoor επιτρέπουν διάφορες λειτουργίες, συμπεριλαμβανομένης της δημιουργίας ενός αντίστροφου κελύφους, της συλλογής πληροφοριών αρχείου, του τερματισμού συγκεκριμένων διαδικασιών, της λήψης στιγμιότυπων οθόνης, της καταγραφής πατημάτων πλήκτρων και ακόμη και της απεγκατάστασης από το μολυσμένο μηχάνημα.
