NSPX30 špijunski softver
Pojavio se neidentificirani akter prijetnje povezan s Kinom, koji je sudjelovao u nekoliko napada protivnika u sredini (AitM). Ovi napadi uključuju otmicu zahtjeva za ažuriranje od legitimnog softvera s namjerom isporuke sofisticiranog implantata poznatog kao NSPX30. Istraživači prate ovu skupinu naprednih trajnih prijetnji (APT), identificirajući je kao 'Blackwood'. Nalazi sugeriraju da je ova skupina kibernetičkog kriminala operativna najmanje od 2018.
Implantat NSPX30 otkriven je u slučajevima kada je postavljen putem mehanizama ažuriranja dobro poznatog softvera, uključujući Tencent QQ, WPS Office i Sogou Pinyin. Mete ovih napada su tvrtke uključene u proizvodnju, trgovinu i inženjering u Kini i Japanu. Osim toga, pojedinci u Kini, Japanu i Ujedinjenom Kraljevstvu također su bili pogođeni ovim AitM napadima.
Sadržaj
Špijunski softver NSPX30 višekomponentna je prijetnja
NSPX30 predstavlja sofisticirani višestupanjski implantat koji se sastoji od različitih komponenti, uključujući dropper, instalater, loaders, orkestrator i backdoor. Backdoor i orchestrator posjeduju različite skupove dodataka. Arhitektura implantata strateški je dizajnirana da iskoristi mogućnosti presretanja paketa, omogućujući NSPX30 operaterima da učinkovito sakriju svoju infrastrukturu.
Podrijetlo backdoor-a, koji ima dodatnu mogućnost zaobilaženja nekoliko kineskih anti-malware rješenja putem samodopuštajućeg popisa, može se pratiti unazad do ranijeg zlonamjernog softvera poznatog kao Project Wood, predstavljenog u siječnju 2005. Project Wood je napravljen za prikupljanje sustava i mrežne informacije, uhvatiti pritiske tipki i napraviti snimke zaslona žrtvi sustava.
Baza kodova za Project Wood poslužila je kao osnova za razne implantate, što je dovelo do derivata kao što je DCM (također poznat kao Dark Spectre) 2008. Nakon toga, ovaj je zlonamjerni softver korišten u ciljanim napadima na pojedince od interesa u Hong Kongu i širem Područje Kine i 2012. i 2014.
Lanac napada za implementaciju špijunskog softvera NSPX30
NSPX30 uveden je kroz kompromitaciju sustava koji pokušavaju preuzeti ažuriranja softvera putem (nešifriranog) HTTP protokola s legitimnih poslužitelja. Ovaj kompromis olakšava implementaciju dropper DLL datoteke.
Štetni dropper, pokrenut tijekom kompromitiranog procesa ažuriranja, generira više datoteka na disku i pokreće izvršavanje 'RsStub.exe', binarne datoteke povezane s antivirusnim softverom. Ovaj korak iskorištava ranjivost prvog na bočno učitavanje DLL-a, omogućujući pokretanje 'comx3.dll'.
Nakon toga, 'comx3.dll' služi kao učitavač, izvršavajući treću datoteku pod nazivom 'comx3.dll.txt.' Ova datoteka funkcionira kao biblioteka programa za instalaciju, pokrećući sljedeću fazu lanca napada, što u konačnici dovodi do izvršenja komponente orkestratora ('WIN.cfg').
Specifična metoda kojom akteri prijetnji isporučuju dropper u obliku lažnih ažuriranja ostaje nepoznata. Međutim, povijesni obrasci pokazuju da su kineski akteri prijetnji, kao što su BlackTech , Evasive Panda, Judgement Panda i Mustang Panda, koristili kompromitirane usmjerivače kao distribucijski kanal za zlonamjerni softver. Istraživači sugeriraju mogućnost da napadači postavljaju mrežni implantat unutar mreže žrtava, potencijalno ciljajući na ranjive mrežne uređaje poput usmjerivača ili pristupnika.
NSPX30 Spyware može izvoditi određene radnje na temelju C2 naredbi
Orkestrator inicira stvaranje dviju niti: jedne posvećene preuzimanju backdoor-a ('msfmtkl.dat') i druge usmjerene na učitavanje njegovih dodataka i uključivanje izuzetaka kako bi se omogućilo zaobilaženje kineskih anti-malware rješenja od strane DLL-ova za učitavanje.
Za preuzimanje backdoor-a, postavlja se HTTP zahtjev na www.baidu[.]com, legitimnu kinesku tražilicu u vlasništvu Baidua. Zahtjev koristi nekonvencionalni niz User-Agenta, oponašajući Internet Explorer na Windows 98 kako bi prikrio svoje podrijetlo. Odgovor poslužitelja sprema se u datoteku, a backdoor komponenta se zatim izdvaja i učitava u memoriju sustava.
Kao dio procesa inicijalizacije, NSPX30 uspostavlja pasivnu UDP slušajuću utičnicu dizajniranu za primanje naredbi od kontrolera i olakšavanje ekstrakcije podataka. To uključuje vjerojatno presretanje paketa DNS upita kako bi se anonimizirala njegova Command-and-Control (C2) infrastruktura.
Upute dane backdooru omogućuju razne funkcije, uključujući stvaranje obrnute ljuske, prikupljanje informacija o datoteci, prekidanje određenih procesa, snimanje snimki zaslona, bilježenje pritisaka na tipke, pa čak i deinstalaciju sa zaraženog stroja.
