NSPX30 nuhkvara
Ilmnes Hiinaga seotud tundmatu ohutegureid, kes osalevad mitmes vastaspoole (AitM) rünnakus. Need rünnakud hõlmavad seadusliku tarkvara värskendustaotluste kaaperdamist eesmärgiga tarnida NSPX30-na tuntud keerukas implantaat. Teadlased jälgivad seda arenenud püsiva ohu (APT) rühma, identifitseerides selle kui "Blackwood". Tulemused viitavad sellele, et see küberkuritegevuse rühmitus on tegutsenud vähemalt 2018. aastast.
NSPX30 implantaat on tuvastatud juhtudel, kui seda kasutati tuntud tarkvara värskendusmehhanismide kaudu, sealhulgas Tencent QQ, WPS Office ja Sogou Pinyin. Nende rünnakute sihtmärgid on Hiinas ja Jaapanis tootmise, kauplemise ja inseneritööga tegelevad ettevõtted. Lisaks on need AitM-i rünnakud mõjutanud ka inimesi Hiinas, Jaapanis ja Ühendkuningriigis.
Sisukord
NSPX30 nuhkvara on mitmekomponendiline oht
NSPX30 kujutab endast keerukat mitmeastmelist implantaati, mis koosneb erinevatest komponentidest, sealhulgas tilgutist, paigaldajast, laaduritest, orkestraatorist ja tagauksest. Tagauksel ja orkestraatoril on erinevad pistikprogrammide komplektid. Implantaadi arhitektuur oli strateegiliselt kavandatud pakettide pealtkuulamise võimaluste võimendamiseks, võimaldades NSPX30 operaatoritel oma infrastruktuuri tõhusalt varjata.
Tagaukse, millel on täiendav võimalus mitmest Hiina pahavaratõrje lahendusest iselubade loendi kaudu möödahiilida, päritolu saab jälgida varasema pahavara nimega Project Wood, mida tutvustati 2005. aasta jaanuaris. Project Wood loodi süsteemi kogumiseks. ja võrguteavet, jäädvustada klahvivajutusi ja teha ekraanipilte ohvrisüsteemidest.
Project Woodi koodibaas on olnud aluseks erinevatele implantaatidele, mis on 2008. aastal tekitanud selliseid derivaate nagu DCM (tuntud ka kui Dark Spectre). Seejärel kasutati seda pahavara sihitud rünnakutes huvipakkuvate isikute vastu Hongkongis ja mujal. Hiina piirkond nii 2012. kui 2014. aastal.
Rünnakett NSPX30 nuhkvara juurutamiseks
NSPX30 tutvustatakse süsteemide kompromissi tõttu, mis üritavad tarkvaravärskendusi (krüpteerimata) HTTP-protokolli kaudu seaduslikest serveritest alla laadida. See kompromiss hõlbustab dropper DLL-faili juurutamist.
Kahjustatud tilguti, mis käivitati kahjustatud värskendusprotsessi käigus, genereerib kettale mitu faili ja käivitab viirusetõrjetarkvaraga seotud kahendfaili RsStub.exe käivitamise. See samm kasutab ära esimese haavatavust DLL-i külglaadimise suhtes, võimaldades käivitada faili „comx3.dll”.
Seejärel toimib 'comx3.dll' laadijana, käivitades kolmanda faili nimega 'comx3.dll.txt'. See fail toimib installeri raamatukoguna, käivitades ründeahela järgmise etapi, mis viib lõpuks orkestrikomponendi ('WIN.cfg') täitmiseni.
Konkreetne meetod, mille abil ohustajad võltsitud värskenduste kujul tilguti edastavad, jääb teadmata. Ajaloolised mustrid näitavad aga, et Hiina ohus osalejad, nagu BlackTech , Evasive Panda, Judgment Panda ja Mustang Panda, on kasutanud ohustatud ruutereid pahavara levituskanalina. Teadlased viitavad võimalusele, et ründajad juurutavad ohvrite võrkudesse võrguimplantaati, mis võib olla suunatud haavatavatele võrguseadmetele, nagu ruuterid või lüüsid.
NSPX30 nuhkvara suudab C2 käskude põhjal teha konkreetseid toiminguid
Orkestraator algatab kahe lõime loomise: üks on pühendatud tagaukse hankimisele ('msfmtkl.dat') ja teine keskendub oma pistikprogrammide laadimisele ja välistuste kaasamisele, et võimaldada laadija DLL-idel Hiina pahavaratõrjelahendustest mööda hiilida.
Tagaukse allalaadimiseks tehakse HTTP-päring aadressile www.baidu[.]com, mis on Baidule kuuluv seaduslik Hiina otsingumootor. Taotlus kasutab ebatavalist kasutaja-agendi stringi, mis jäljendab selle päritolu varjamiseks Internet Explorerit opsüsteemis Windows 98. Serveri vastus salvestatakse faili ning tagaukse komponent ekstraheeritakse ja laaditakse süsteemi mällu.
Initsialiseerimisprotsessi osana loob NSPX30 passiivse UDP-kuulamispesa, mis on loodud kontrollerilt käskude vastuvõtmiseks ja andmete väljafiltreerimise hõlbustamiseks. See hõlmab tõenäoliselt DNS-i päringupakettide pealtkuulamist, et muuta selle Command-and-Control (C2) infrastruktuur anonüümseks.
Tagauksele antud juhised võimaldavad erinevaid funktsioone, sealhulgas pöördkesta loomist, failiteabe kogumist, konkreetsete protsesside lõpetamist, ekraanipiltide jäädvustamist, klahvivajutuste logimist ja isegi enda nakatunud masinast desinstallimist.
