NSPX30 vakoiluohjelma
Tuntematon Kiinaan liittyvä uhkatekijä on noussut esiin, ja se on osallistunut useisiin Adversary-in-the-Middle (AitM) -hyökkäyksiin. Näihin hyökkäyksiin kuuluu päivityspyyntöjen kaappaaminen laillisilta ohjelmistoilta tarkoituksena toimittaa kehittynyt implantti, joka tunnetaan nimellä NSPX30. Tutkijat seuraavat tätä kehittynyttä pysyvää uhkaa (APT) -ryhmää ja tunnistavat sen "Blackwoodiksi". Tulokset viittaavat siihen, että tämä tietoverkkorikollisryhmä on ollut toiminnassa ainakin vuodesta 2018 lähtien.
NSPX30-implantti on havaittu tapauksissa, joissa se otettiin käyttöön tunnettujen ohjelmistojen päivitysmekanismien kautta, mukaan lukien Tencent QQ, WPS Office ja Sogou Pinyin. Hyökkäysten kohteena ovat tuotantoon, kauppaan ja suunnitteluun osallistuvat yritykset Kiinassa ja Japanissa. Lisäksi nämä AitM-hyökkäykset ovat vaikuttaneet henkilöihin Kiinassa, Japanissa ja Isossa-Britanniassa.
Sisällysluettelo
NSPX30 Spyware on monikomponenttinen uhka
NSPX30 edustaa hienostunutta monivaiheista implanttia, joka koostuu useista eri osista, mukaan lukien tiputin, asennuslaite, kuormaajat, orkestraattori ja takaovi. Takaovella ja orkestraattorilla on kummallakin erilliset lisäosat. Implanttien arkkitehtuuri on suunniteltu strategisesti hyödyntämään pakettien sieppausominaisuuksia, jolloin NSPX30-operaattorit voivat piilottaa infrastruktuurinsa tehokkaasti.
Takaoven, jolla on lisäkyky kiertää useita kiinalaisia haittaohjelmien torjuntaratkaisuja itsensä sallivan luettelon kautta, alkuperä voidaan jäljittää aikaisempaan Project Wood -nimiseen haittaohjelmaan, joka esiteltiin tammikuussa 2005. Project Wood luotiin keräämään järjestelmä ja verkkotietoja, tallentaa näppäinpainalluksia ja ottaa kuvakaappauksia uhrijärjestelmistä.
Project Woodin koodikanta on toiminut pohjana erilaisille implanteille, mikä on synnyttänyt johdannaisia, kuten DCM:n (tunnetaan myös nimellä Dark Spectre) vuonna 2008. Myöhemmin tätä haittaohjelmaa käytettiin kohdistetuissa hyökkäyksissä kiinnostavia henkilöitä vastaan Hongkongissa ja ulkomailla. Kiinan alue sekä vuonna 2012 että 2014.
Hyökkäysketju NSPX30-vakoiluohjelman käyttöönottoa varten
NSPX30 on otettu käyttöön sellaisten järjestelmien kompromissin kautta, jotka yrittävät ladata ohjelmistopäivityksiä (salaamattoman) HTTP-protokollan kautta laillisilta palvelimilta. Tämä kompromissi helpottaa dropper-DLL-tiedoston käyttöönottoa.
Vahingoittuneen päivitysprosessin aikana käynnistetty vahingollinen tiputin luo useita tiedostoja levylle ja käynnistää virustorjuntaohjelmistoon liittyvän binaarin "RsStub.exe" suorittamisen. Tämä vaihe hyödyntää edellisen haavoittuvuutta DLL-sivulataukselle, mikä mahdollistaa comx3.dll:n käynnistämisen.
Tämän jälkeen "comx3.dll" toimii latausohjelmana ja suorittaa kolmannen tiedoston nimeltä "comx3.dll.txt". Tämä tiedosto toimii asennuskirjastona ja käynnistää hyökkäysketjun seuraavan vaiheen, joka lopulta johtaa orchestrator-komponentin ('WIN.cfg') suorittamiseen.
Tietty menetelmä, jolla uhkatekijät toimittavat dropperin väärien päivitysten muodossa, on edelleen tuntematon. Historialliset mallit osoittavat kuitenkin, että kiinalaiset uhkatoimijat, kuten BlackTech , Evasive Panda, Judgment Panda ja Mustang Panda, ovat käyttäneet vaarantuneita reitittimiä haittaohjelmien jakelukanavana. Tutkijat ehdottavat mahdollisuutta, että hyökkääjät ottavat käyttöön verkko-implantteja uhrien verkkoihin, mahdollisesti kohdentaen haavoittuvia verkkolaitteita, kuten reitittimiä tai yhdyskäytäviä.
NSPX30-vakoiluohjelma voi suorittaa tiettyjä toimintoja C2-komentojen perusteella
Orkesteri aloittaa kahden säikeen luomisen: toinen on omistettu takaoven hankkimiselle ('msfmtkl.dat') ja toinen keskittyi sen liitännäisten lataamiseen ja poissulkemisten sisällyttämiseen mahdollistaakseen kiinalaisten haittaohjelmien torjuntaratkaisujen ohittamisen latausohjelmistojen DLL:illä.
Takaoven lataamista varten HTTP-pyyntö tehdään osoitteeseen www.baidu[.]com, Baidun omistamalle lailliselle kiinalaiselle hakukoneelle. Pyyntö käyttää epätavallista User-Agent-merkkijonoa, joka jäljittelee Windows 98:n Internet Exploreria sen alkuperän peittämiseksi. Palvelimen vastaus tallennetaan tiedostoon, jonka jälkeen takaoven komponentti puretaan ja ladataan järjestelmän muistiin.
Osana alustusprosessiaan NSPX30 perustaa passiivisen UDP-kuunteluliittimen, joka on suunniteltu vastaanottamaan komentoja ohjaimelta ja helpottamaan tietojen suodattamista. Tämä tarkoittaa todennäköisesti DNS-kyselypakettien sieppaamista sen Command-and-Control (C2) -infrastruktuurin anonymisoimiseksi.
Takaoven ohjeet mahdollistavat erilaisia toimintoja, kuten käänteisen kuoren luomisen, tiedostotietojen keräämisen, tiettyjen prosessien lopettamisen, kuvakaappausten ottamisen, näppäinpainallusten kirjaamisen ja jopa itsensä poistamisen tartunnan saaneesta koneesta.
