نرم افزار جاسوسی NSPX30

یک عامل تهدید ناشناس مرتبط با چین ظاهر شده است که در چندین حمله دشمن در وسط (AitM) شرکت دارد. این حملات شامل ربودن درخواست‌های به‌روزرسانی از نرم‌افزارهای قانونی با هدف ارائه یک ایمپلنت پیچیده به نام NSPX30 است. محققان این گروه تهدید مداوم پیشرفته (APT) را زیر نظر دارند و آن را به عنوان "Blackwood" شناسایی می کنند. یافته ها حاکی از آن است که این گروه جرایم سایبری حداقل از سال 2018 فعالیت داشته است.

ایمپلنت NSPX30 در مواردی شناسایی شده است که از طریق مکانیسم‌های به‌روزرسانی نرم‌افزارهای معروف از جمله Tencent QQ، WPS Office و Sogou Pinyin به کار گرفته شده است. اهداف این حملات شرکت هایی هستند که در زمینه تولید، تجارت و مهندسی در چین و ژاپن فعالیت می کنند. علاوه بر این، افراد در چین، ژاپن و بریتانیا نیز تحت تأثیر این حملات AitM قرار گرفته‌اند.

Spyware NSPX30 یک تهدید چند جزئی است

NSPX30 نشان دهنده یک ایمپلنت چند مرحله ای پیچیده است که شامل اجزای مختلفی از جمله قطره چکان، نصب کننده، لودر، ارکستراتور و درب پشتی است. درب پشتی و ارکستراتور هر کدام دارای مجموعه‌های مجزایی از پلاگین‌ها هستند. معماری ایمپلنت به طور استراتژیک برای استفاده از قابلیت های رهگیری بسته ها طراحی شده بود و به اپراتورهای NSPX30 اجازه می داد زیرساخت های خود را به طور موثر پنهان کنند.

منشا درب پشتی، که دارای قابلیت اضافی برای دور زدن چندین راه‌حل ضد بدافزار چینی از طریق فهرست‌بندی خودکار است، می‌تواند به بدافزار قبلی به نام Project Wood که در ژانویه 2005 معرفی شد، ردیابی شود. Project Wood برای جمع‌آوری سیستم ساخته شده است. و اطلاعات شبکه، گرفتن کلید، و گرفتن اسکرین شات از سیستم های قربانی.

پایگاه کد Project Wood به عنوان پایه ای برای ایمپلنت های مختلف عمل کرده است و مشتقاتی مانند DCM (همچنین به عنوان Dark Spectre) در سال 2008 شناخته می شود. متعاقباً، این بدافزار در حملات هدفمند علیه افراد مورد علاقه در هنگ کنگ و بزرگتر مورد استفاده قرار گرفت. منطقه چین در هر دو سال 2012 و 2014.

زنجیره حمله برای استقرار نرم افزار جاسوسی NSPX30

NSPX30 از طریق به خطر انداختن سیستم‌هایی که تلاش می‌کنند به‌روزرسانی‌های نرم‌افزار را از طریق پروتکل HTTP (رمزگذاری نشده) از سرورهای قانونی دانلود کنند، معرفی شده است. این سازش استقرار یک فایل DLL dropper را تسهیل می کند.

قطره چکان آسیب رسان، که در طی فرآیند به روز رسانی به خطر افتاده آغاز شده است، چندین فایل را روی دیسک تولید می کند و اجرای "RsStub.exe" را آغاز می کند، یک باینری مرتبط با نرم افزار آنتی ویروس. این مرحله از آسیب پذیری قبلی در بارگذاری جانبی DLL سوء استفاده می کند و راه اندازی 'comx3.dll' را امکان پذیر می کند.

متعاقبا، 'comx3.dll' به عنوان یک بارگذار عمل می کند و فایل سومی به نام 'comx3.dll.txt' را اجرا می کند. این فایل به‌عنوان یک کتابخانه نصب‌کننده عمل می‌کند و مرحله بعدی زنجیره حمله را راه‌اندازی می‌کند و در نهایت منجر به اجرای مؤلفه ارکستراتور ('WIN.cfg') می‌شود.

روش خاصی که توسط آن عوامل تهدید قطره چکان را در قالب به روز رسانی های جعلی تحویل می دهند ناشناخته باقی مانده است. با این حال، الگوهای تاریخی نشان می دهد که بازیگران تهدید چینی، مانند BlackTech ، Evasive Panda، Judgment Panda و Mustang Panda از روترهای در معرض خطر به عنوان کانال توزیع بدافزار استفاده کرده اند. محققان احتمال می دهند که مهاجمان در حال استقرار یک ایمپلنت شبکه در شبکه های قربانیان هستند که به طور بالقوه وسایل شبکه آسیب پذیر مانند روترها یا دروازه ها را هدف قرار می دهند.

نرم افزار جاسوسی NSPX30 می تواند اقدامات خاصی را بر اساس دستورات C2 انجام دهد

ارکستراتور ایجاد دو رشته را آغاز می کند: یکی اختصاص داده شده به درب پشتی ('msfmtkl.dat') و دیگری متمرکز بر بارگیری افزونه های آن و ترکیب موارد استثنا برای دور زدن راه حل های ضد بدافزار چینی توسط DLL های بارکننده.

برای دانلود Backdoor، یک درخواست HTTP به www.baidu[.]com، موتور جستجوی قانونی چینی متعلق به Baidu ارسال می شود. این درخواست از یک رشته User-Agent غیر متعارف استفاده می‌کند که از اینترنت اکسپلورر در ویندوز 98 تقلید می‌کند تا منشا آن را پنهان کند. پاسخ سرور در یک فایل ذخیره می شود و سپس کامپوننت backdoor استخراج و در حافظه سیستم بارگذاری می شود.

به عنوان بخشی از فرآیند اولیه سازی، NSPX30 یک سوکت گوش دادن UDP غیرفعال ایجاد می کند که برای دریافت دستورات از کنترل کننده و تسهیل استخراج داده ها طراحی شده است. این احتمالاً شامل رهگیری بسته‌های پرس و جو DNS برای ناشناس کردن زیرساخت Command-and-Control (C2) آن است.

دستورالعمل‌های ارائه‌شده به درب پشتی، قابلیت‌های مختلفی از جمله ایجاد پوسته معکوس، جمع‌آوری اطلاعات فایل، پایان دادن به فرآیندهای خاص، گرفتن اسکرین‌شات، ثبت ضربه‌های کلید و حتی حذف نصب خود از دستگاه آلوده را امکان‌پذیر می‌سازد.