NSPX30 स्पाइवेयर

चीन से जुड़ा एक अज्ञात ख़तरा अभिनेता सामने आया है, जो कई एडवर्सरी-इन-द-मिडिल (एआईटीएम) हमलों में शामिल है। इन हमलों में NSPX30 नामक एक परिष्कृत इम्प्लांट देने के इरादे से वैध सॉफ़्टवेयर से अपडेट अनुरोधों को हाईजैक करना शामिल है। शोधकर्ता इस उन्नत लगातार खतरे (एपीटी) समूह की निगरानी कर रहे हैं, इसे 'ब्लैकवुड' के रूप में पहचान रहे हैं। निष्कर्ष बताते हैं कि यह साइबर अपराध समूह कम से कम 2018 से सक्रिय है।

NSPX30 इम्प्लांट का पता ऐसे उदाहरणों में लगाया गया है जहां इसे Tencent QQ, WPS Office और Sogou Pinyin सहित प्रसिद्ध सॉफ़्टवेयर के अद्यतन तंत्र के माध्यम से तैनात किया गया था। इन हमलों का निशाना चीन और जापान में विनिर्माण, व्यापार और इंजीनियरिंग से जुड़ी कंपनियां हैं। इसके अतिरिक्त, चीन, जापान और यूके के व्यक्ति भी इन एआईटीएम हमलों से प्रभावित हुए हैं।

NSPX30 स्पाइवेयर एक बहु-घटक खतरा है

NSPX30 एक परिष्कृत मल्टीस्टेज इम्प्लांट का प्रतिनिधित्व करता है जिसमें ड्रॉपर, इंस्टॉलर, लोडर, ऑर्केस्ट्रेटर और एक बैकडोर सहित विभिन्न घटक शामिल हैं। बैकडोर और ऑर्केस्ट्रेटर प्रत्येक के पास प्लगइन्स के अलग-अलग सेट होते हैं। इम्प्लांट की वास्तुकला को रणनीतिक रूप से पैकेट अवरोधन क्षमताओं का लाभ उठाने के लिए डिज़ाइन किया गया था, जिससे एनएसपीएक्स 30 ऑपरेटरों को अपने बुनियादी ढांचे को प्रभावी ढंग से छुपाने की इजाजत मिलती थी।

पिछले दरवाजे की उत्पत्ति, जिसमें स्व-अनुमति सूची के माध्यम से कई चीनी एंटी-मैलवेयर समाधानों को दरकिनार करने की अतिरिक्त क्षमता है, का पता जनवरी 2005 में पेश किए गए प्रोजेक्ट वुड नामक पुराने मैलवेयर से लगाया जा सकता है। प्रोजेक्ट वुड को सिस्टम इकट्ठा करने के लिए तैयार किया गया था और नेटवर्क जानकारी, कीस्ट्रोक्स कैप्चर करें, और पीड़ित सिस्टम के स्क्रीनशॉट लें।

प्रोजेक्ट वुड के कोडबेस ने विभिन्न प्रत्यारोपणों के लिए आधार के रूप में काम किया है, जिससे 2008 में डीसीएम (जिसे डार्क स्पेक्टर के रूप में भी जाना जाता है) जैसे डेरिवेटिव को जन्म दिया गया। इसके बाद, इस मैलवेयर को हांगकांग और ग्रेटर में रुचि के व्यक्तियों के खिलाफ लक्षित हमलों में नियोजित किया गया था। 2012 और 2014 दोनों में चीन क्षेत्र।

NSPX30 स्पाइवेयर की तैनाती के लिए आक्रमण श्रृंखला

NSPX30 को वैध सर्वर से (अनएन्क्रिप्टेड) HTTP प्रोटोकॉल के माध्यम से सॉफ़्टवेयर अपडेट डाउनलोड करने का प्रयास करने वाले सिस्टम के समझौते के माध्यम से पेश किया गया है। यह समझौता ड्रॉपर DLL फ़ाइल की तैनाती की सुविधा प्रदान करता है।

समझौता किए गए अद्यतन प्रक्रिया के दौरान शुरू किया गया हानिकारक ड्रॉपर, डिस्क पर कई फ़ाइलें उत्पन्न करता है और एंटीवायरस सॉफ़्टवेयर से जुड़े बाइनरी 'RsStub.exe' का निष्पादन शुरू करता है। यह चरण DLL साइड-लोडिंग की भेद्यता का फायदा उठाता है, जिससे 'comx3.dll' का लॉन्च संभव हो जाता है।

इसके बाद, 'comx3.dll' एक लोडर के रूप में कार्य करता है, जो 'comx3.dll.txt' नामक तीसरी फ़ाइल निष्पादित करता है। यह फ़ाइल एक इंस्टॉलर लाइब्रेरी के रूप में कार्य करती है, जो हमले की श्रृंखला के अगले चरण को ट्रिगर करती है, अंततः ऑर्केस्ट्रेटर घटक ('WIN.cfg') के निष्पादन की ओर ले जाती है।

वह विशिष्ट विधि जिसके द्वारा धमकी देने वाले कलाकार फर्जी अपडेट के रूप में ड्रॉपर वितरित करते हैं, अज्ञात बनी हुई है। हालाँकि, ऐतिहासिक पैटर्न से संकेत मिलता है कि ब्लैकटेक , इवेसिव पांडा, जजमेंट पांडा और मस्टैंग पांडा जैसे चीनी खतरा अभिनेताओं ने मैलवेयर के वितरण चैनल के रूप में समझौता किए गए राउटर का उपयोग किया है। शोधकर्ता इस संभावना का सुझाव देते हैं कि हमलावर पीड़ितों के नेटवर्क के भीतर एक नेटवर्क प्रत्यारोपण तैनात कर रहे हैं, संभावित रूप से राउटर या गेटवे जैसे कमजोर नेटवर्क उपकरणों को लक्षित कर रहे हैं।

NSPX30 स्पाइवेयर C2 कमांड के आधार पर विशिष्ट कार्य कर सकता है

ऑर्केस्ट्रेटर दो थ्रेड्स का निर्माण शुरू करता है: एक पिछले दरवाजे ('msfmtkl.dat') को प्राप्त करने के लिए समर्पित है और दूसरा अपने प्लगइन्स को लोड करने और लोडर डीएलएल द्वारा चीनी एंटी-मैलवेयर समाधानों को बायपास करने में सक्षम करने के लिए बहिष्करण को शामिल करने पर केंद्रित है।

बैकडोर से डाउनलोड करने के लिए, www.baidu[.]com से एक HTTP अनुरोध किया जाता है, जो Baidu के स्वामित्व वाला वैध चीनी खोज इंजन है। अनुरोध एक अपरंपरागत उपयोगकर्ता-एजेंट स्ट्रिंग को नियोजित करता है, जो अपने मूल को छिपाने के लिए विंडोज 98 पर इंटरनेट एक्सप्लोरर की नकल करता है। सर्वर की प्रतिक्रिया को एक फ़ाइल में सहेजा जाता है, और फिर बैकडोर घटक को निकाला जाता है और सिस्टम की मेमोरी में लोड किया जाता है।

अपनी आरंभीकरण प्रक्रिया के भाग के रूप में, NSPX30 एक निष्क्रिय यूडीपी श्रवण सॉकेट स्थापित करता है जिसे नियंत्रक से आदेश प्राप्त करने और डेटा एक्सफ़िल्ट्रेशन की सुविधा के लिए डिज़ाइन किया गया है। इसमें इसके कमांड-एंड-कंट्रोल (C2) इंफ्रास्ट्रक्चर को अज्ञात करने के लिए DNS क्वेरी पैकेट को इंटरसेप्ट करना शामिल है।

पिछले दरवाजे को दिए गए निर्देश विभिन्न कार्यात्मकताओं को सक्षम करते हैं, जिसमें एक रिवर्स शेल का निर्माण, फ़ाइल जानकारी एकत्र करना, विशिष्ट प्रक्रियाओं को समाप्त करना, स्क्रीनशॉट कैप्चर करना, कीस्ट्रोक्स लॉग करना और यहां तक कि संक्रमित मशीन से खुद को अनइंस्टॉल करना शामिल है।