نرم افزار جاسوسی NSPX30
یک عامل تهدید ناشناس مرتبط با چین ظاهر شده است که در چندین حمله دشمن در وسط (AitM) شرکت دارد. این حملات شامل ربودن درخواستهای بهروزرسانی از نرمافزارهای قانونی با هدف ارائه یک ایمپلنت پیچیده به نام NSPX30 است. محققان این گروه تهدید مداوم پیشرفته (APT) را زیر نظر دارند و آن را به عنوان "Blackwood" شناسایی می کنند. یافته ها حاکی از آن است که این گروه جرایم سایبری حداقل از سال 2018 فعالیت داشته است.
ایمپلنت NSPX30 در مواردی شناسایی شده است که از طریق مکانیسمهای بهروزرسانی نرمافزارهای معروف از جمله Tencent QQ، WPS Office و Sogou Pinyin به کار گرفته شده است. اهداف این حملات شرکت هایی هستند که در زمینه تولید، تجارت و مهندسی در چین و ژاپن فعالیت می کنند. علاوه بر این، افراد در چین، ژاپن و بریتانیا نیز تحت تأثیر این حملات AitM قرار گرفتهاند.
فهرست مطالب
Spyware NSPX30 یک تهدید چند جزئی است
NSPX30 نشان دهنده یک ایمپلنت چند مرحله ای پیچیده است که شامل اجزای مختلفی از جمله قطره چکان، نصب کننده، لودر، ارکستراتور و درب پشتی است. درب پشتی و ارکستراتور هر کدام دارای مجموعههای مجزایی از پلاگینها هستند. معماری ایمپلنت به طور استراتژیک برای استفاده از قابلیت های رهگیری بسته ها طراحی شده بود و به اپراتورهای NSPX30 اجازه می داد زیرساخت های خود را به طور موثر پنهان کنند.
منشا درب پشتی، که دارای قابلیت اضافی برای دور زدن چندین راهحل ضد بدافزار چینی از طریق فهرستبندی خودکار است، میتواند به بدافزار قبلی به نام Project Wood که در ژانویه 2005 معرفی شد، ردیابی شود. Project Wood برای جمعآوری سیستم ساخته شده است. و اطلاعات شبکه، گرفتن کلید، و گرفتن اسکرین شات از سیستم های قربانی.
پایگاه کد Project Wood به عنوان پایه ای برای ایمپلنت های مختلف عمل کرده است و مشتقاتی مانند DCM (همچنین به عنوان Dark Spectre) در سال 2008 شناخته می شود. متعاقباً، این بدافزار در حملات هدفمند علیه افراد مورد علاقه در هنگ کنگ و بزرگتر مورد استفاده قرار گرفت. منطقه چین در هر دو سال 2012 و 2014.
زنجیره حمله برای استقرار نرم افزار جاسوسی NSPX30
NSPX30 از طریق به خطر انداختن سیستمهایی که تلاش میکنند بهروزرسانیهای نرمافزار را از طریق پروتکل HTTP (رمزگذاری نشده) از سرورهای قانونی دانلود کنند، معرفی شده است. این سازش استقرار یک فایل DLL dropper را تسهیل می کند.
قطره چکان آسیب رسان، که در طی فرآیند به روز رسانی به خطر افتاده آغاز شده است، چندین فایل را روی دیسک تولید می کند و اجرای "RsStub.exe" را آغاز می کند، یک باینری مرتبط با نرم افزار آنتی ویروس. این مرحله از آسیب پذیری قبلی در بارگذاری جانبی DLL سوء استفاده می کند و راه اندازی 'comx3.dll' را امکان پذیر می کند.
متعاقبا، 'comx3.dll' به عنوان یک بارگذار عمل می کند و فایل سومی به نام 'comx3.dll.txt' را اجرا می کند. این فایل بهعنوان یک کتابخانه نصبکننده عمل میکند و مرحله بعدی زنجیره حمله را راهاندازی میکند و در نهایت منجر به اجرای مؤلفه ارکستراتور ('WIN.cfg') میشود.
روش خاصی که توسط آن عوامل تهدید قطره چکان را در قالب به روز رسانی های جعلی تحویل می دهند ناشناخته باقی مانده است. با این حال، الگوهای تاریخی نشان می دهد که بازیگران تهدید چینی، مانند BlackTech ، Evasive Panda، Judgment Panda و Mustang Panda از روترهای در معرض خطر به عنوان کانال توزیع بدافزار استفاده کرده اند. محققان احتمال می دهند که مهاجمان در حال استقرار یک ایمپلنت شبکه در شبکه های قربانیان هستند که به طور بالقوه وسایل شبکه آسیب پذیر مانند روترها یا دروازه ها را هدف قرار می دهند.
نرم افزار جاسوسی NSPX30 می تواند اقدامات خاصی را بر اساس دستورات C2 انجام دهد
ارکستراتور ایجاد دو رشته را آغاز می کند: یکی اختصاص داده شده به درب پشتی ('msfmtkl.dat') و دیگری متمرکز بر بارگیری افزونه های آن و ترکیب موارد استثنا برای دور زدن راه حل های ضد بدافزار چینی توسط DLL های بارکننده.
برای دانلود Backdoor، یک درخواست HTTP به www.baidu[.]com، موتور جستجوی قانونی چینی متعلق به Baidu ارسال می شود. این درخواست از یک رشته User-Agent غیر متعارف استفاده میکند که از اینترنت اکسپلورر در ویندوز 98 تقلید میکند تا منشا آن را پنهان کند. پاسخ سرور در یک فایل ذخیره می شود و سپس کامپوننت backdoor استخراج و در حافظه سیستم بارگذاری می شود.
به عنوان بخشی از فرآیند اولیه سازی، NSPX30 یک سوکت گوش دادن UDP غیرفعال ایجاد می کند که برای دریافت دستورات از کنترل کننده و تسهیل استخراج داده ها طراحی شده است. این احتمالاً شامل رهگیری بستههای پرس و جو DNS برای ناشناس کردن زیرساخت Command-and-Control (C2) آن است.
دستورالعملهای ارائهشده به درب پشتی، قابلیتهای مختلفی از جمله ایجاد پوسته معکوس، جمعآوری اطلاعات فایل، پایان دادن به فرآیندهای خاص، گرفتن اسکرینشات، ثبت ضربههای کلید و حتی حذف نصب خود از دستگاه آلوده را امکانپذیر میسازد.