תוכנת ריגול NSPX30

הופיע שחקן איום לא מזוהה המזוהה עם סין, והשתתף במספר התקפות של יריב באמצע (AitM). התקפות אלו כוללות חטיפת בקשות לעדכון מתוכנה לגיטימית מתוך כוונה לספק שתל מתוחכם המכונה NSPX30. חוקרים עוקבים אחר קבוצת האיום המתמשך המתקדם (APT), ומזהים אותה כ'בלאקווד'. הממצאים מצביעים על כך שקבוצת פשעי סייבר זו פועלת מאז 2018 לפחות.

שתל ה-NSPX30 זוהה במקרים שבהם הוא נפרס באמצעות מנגנוני העדכון של תוכנות ידועות, כולל Tencent QQ, WPS Office ו-Sogou Pinyin. המטרות של התקפות אלו הן חברות העוסקות בייצור, מסחר והנדסה בסין וביפן. בנוסף, אנשים בסין, יפן ובריטניה הושפעו גם הם מהתקפות AitM אלה.

תוכנת הריגול NSPX30 היא איום מרובה רכיבים

NSPX30 מייצג שתל רב-שלבי מתוחכם הכולל רכיבים שונים, כולל טפטפת, מתקין, מעמיסים, מתזמר ודלת אחורית. לדלת האחורית ולמתזמר יש סטים נפרדים של תוספים. הארכיטקטורה של השתל תוכננה באופן אסטרטגי כדי למנף יכולות יירוט מנות, מה שמאפשר למפעילי NSPX30 להסתיר את התשתית שלהם ביעילות.

מקורותיה של הדלת האחורית, בעלת היכולת הנוספת לעקוף מספר פתרונות סיניים נגד תוכנות זדוניות באמצעות רישום של אישור עצמי, ניתן לייחס לתוכנה זדונית קודמת המכונה Project Wood, שהוצגה בינואר 2005. Project Wood נוצר כדי לאסוף מערכת ומידע רשת, לכיד הקשות ולצלם צילומי מסך של מערכות קורבנות.

בסיס הקוד של Project Wood שימש בסיס לשתלים שונים, והוליד נגזרות כגון DCM (הידוע גם בשם Dark Spectre) בשנת 2008. לאחר מכן, תוכנה זדונית זו הופעלה בהתקפות ממוקדות נגד אנשים בעלי עניין בהונג קונג ובאזור רבתי. אזור סין ב-2012 וגם ב-2014.

שרשרת תקיפה לפריסת תוכנת הריגול NSPX30

NSPX30 מוצג דרך הפשרה של מערכות המנסות להוריד עדכוני תוכנה באמצעות פרוטוקול HTTP (לא מוצפן) משרתים לגיטימיים. פשרה זו מקלה על הפריסה של קובץ DLL של טפטפת.

הטפטפת הפוגעת, שהופעלה במהלך תהליך העדכון שנפגע, מייצרת קבצים מרובים בדיסק ומתחילה את הביצוע של 'RsStub.exe', בינארי הקשור לתוכנת אנטי-וירוס. שלב זה מנצל את הפגיעות של הקודם לטעינת צד של DLL, ומאפשר את ההשקה של 'comx3.dll.'

לאחר מכן, 'comx3.dll' משמש כמטען, ומבצע קובץ שלישי בשם 'comx3.dll.txt'. קובץ זה מתפקד כספריית מתקין, מפעיל את השלב הבא של שרשרת ההתקפה, המוביל בסופו של דבר לביצוע רכיב התזמור ('WIN.cfg').

השיטה הספציפית שבה גורמי איומים מספקים את הטפטפת בצורה של עדכונים מזויפים נותרה לא ידועה. עם זאת, דפוסים היסטוריים מצביעים על כך שגורמי איומים סיניים, כגון BlackTech , Evasive Panda, Judgment Panda ומוסטנג פנדה, השתמשו בנתבים שנפגעו כערוץ הפצה עבור תוכנות זדוניות. חוקרים מציעים את האפשרות שהתוקפים פורסים שתל רשת בתוך הרשתות של הקורבנות, ועלול לכוון למכשירי רשת פגיעים כמו נתבים או שערים.

תוכנת הריגול NSPX30 יכולה לבצע פעולות ספציפיות על סמך פקודות C2

המתזמר יוזם יצירת שני שרשורים: האחד מוקדש לרכישת הדלת האחורית ('msfmtkl.dat') והשני התמקד בטעינת התוספים שלו ושילוב אי הכללות כדי לאפשר עקיפת פתרונות אנטי-זדוניות סיניים על ידי ה-DLL של הטוען.

כדי להוריד את הדלת האחורית, מוגשת בקשת HTTP אל www.baidu[.]com, מנוע החיפוש הסיני הלגיטימי בבעלות Baidu. הבקשה משתמשת במחרוזת User-Agent לא שגרתית, המחקה את Internet Explorer ב-Windows 98 כדי להסוות את מקורה. תגובת השרת נשמרת בקובץ, ולאחר מכן רכיב הדלת האחורית חולץ ונטען לזיכרון המערכת.

כחלק מתהליך האתחול שלו, NSPX30 מקים שקע האזנה UDP פסיבי שנועד לקבל פקודות מהבקר ולהקל על פליטת נתונים. זה כולל ככל הנראה יירוט של מנות שאילתות DNS כדי להפוך את תשתית הפקודה והבקרה (C2) לאנונימית שלה.

ההוראות המסופקות לדלת האחורית מאפשרות פונקציונליות שונות, כולל יצירת מעטפת הפוכה, איסוף מידע על קבצים, סיום תהליכים ספציפיים, לכידת צילומי מסך, רישום הקשות, ואפילו הסרת ההתקנה מהמכונה הנגועה.