NSPX30 Spyware
Egy Kínához köthető, azonosítatlan fenyegetés szereplője bukkant fel, aki több AitM (Adversary-in-the-Middle) támadásban is részt vett. Ezek a támadások a legális szoftverek frissítési kérelmeinek eltérítését foglalják magukban azzal a szándékkal, hogy egy NSPX30 néven ismert kifinomult implantátumot szállítsanak. A kutatók ezt a fejlett, tartós fenyegetést (APT) figyelik, és „Blackwood”-ként azonosítják. Az eredmények arra utalnak, hogy ez a kiberbűnözők csoportja legalább 2018 óta működik.
Az NSPX30 implantátumot olyan esetekben észlelték, amikor jól ismert szoftverek frissítési mechanizmusain keresztül telepítették, beleértve a Tencent QQ-t, a WPS Office-t és a Sogou Pinyint. A támadások célpontjai Kínában és Japánban gyártással, kereskedelemmel és tervezéssel foglalkozó vállalatok. Ezenkívül Kínában, Japánban és az Egyesült Királyságban is érintettek az AitM-támadások.
Tartalomjegyzék
Az NSPX30 spyware többkomponensű fenyegetés
Az NSPX30 egy kifinomult többlépcsős implantátum, amely különféle összetevőket tartalmaz, beleértve a cseppentőt, a telepítőt, a rakodókat, a hangszerelőt és a hátsó ajtót. A hátsó ajtó és a hangszerelő külön-külön beépülő modulokkal rendelkezik. Az implantátum architektúráját stratégiailag úgy alakították ki, hogy kihasználja a csomaglehallgatási képességeket, lehetővé téve az NSPX30 kezelői számára, hogy hatékonyan elrejthessék infrastruktúrájukat.
A hátsó ajtó, amely több kínai malware-elhárító megoldást is képes megkerülni az önengedélyezési listázáson keresztül, eredete egy korábbi, Project Wood néven ismert rosszindulatú programra vezethető vissza, amelyet 2005 januárjában vezettek be. A Project Woodot a rendszer összegyűjtésére tervezték. és hálózati információkat, rögzítheti a billentyűleütéseket, és képernyőképeket készíthet az áldozat rendszerekről.
A Project Wood kódbázisa különféle implantátumok alapjául szolgált, és olyan származékokat eredményezett, mint a DCM (más néven Dark Specter) 2008-ban. Ezt követően ezt a rosszindulatú programot célzott támadásokhoz használták Hongkongban és a tágabb térségben érdekelt személyek ellen. Kína területe 2012-ben és 2014-ben is.
Támadási lánc az NSPX30 kémprogramok telepítéséhez
Az NSPX30 bevezetése a szoftverfrissítések (titkosítatlan) HTTP protokollon keresztül történő letöltésére törekvő rendszerek kompromisszumán keresztül jelent meg legitim szerverekről. Ez a kompromisszum megkönnyíti a dropper DLL-fájl telepítését.
A sértett frissítési folyamat során elindított ártalmas cseppentő több fájlt generál a lemezen, és elindítja az „RsStub.exe”, a víruskereső szoftverhez társított bináris fájl végrehajtását. Ez a lépés kihasználja az előbbi sebezhetőségét a DLL oldalsó betöltésével szemben, lehetővé téve a „comx3.dll” elindítását.
Ezt követően a „comx3.dll” betöltőként szolgál, és egy harmadik „comx3.dll.txt” fájlt hajt végre. Ez a fájl telepítőkönyvtárként működik, elindítva a támadási lánc következő szakaszát, amely végül az orchestrator komponens ('WIN.cfg') végrehajtásához vezet.
Az a konkrét módszer, amellyel a fenyegetés szereplői hamis frissítések formájában szállítják a droppert, továbbra sem ismert. A történelmi minták azonban azt mutatják, hogy a kínai fenyegetés szereplői, mint például a BlackTech , az Evasive Panda, az Judgment Panda és a Mustang Panda, feltört útválasztókat használtak a rosszindulatú programok terjesztési csatornájaként. A kutatók felvetik annak lehetőségét, hogy a támadók hálózati implantátumot helyeznek el az áldozatok hálózatán belül, potenciálisan sérülékeny hálózati eszközöket, például útválasztókat vagy átjárókat célozva meg.
Az NSPX30 spyware a C2 parancsok alapján meghatározott műveleteket hajthat végre
Az Orchestrator két szál létrehozását kezdeményezi: az egyik a hátsó ajtó megszerzésére irányul ('msfmtkl.dat'), a másik pedig a beépülő modulok betöltésére és a kizárások beépítésére összpontosít, hogy a betöltő DLL-ek megkerüljék a kínai rosszindulatú szoftverek elleni megoldásokat.
A hátsó ajtó letöltéséhez HTTP-kérés érkezik a www.baidu[.]com webhelyre, a Baidu tulajdonában lévő legális kínai keresőmotorra. A kérés egy nem szokványos User-Agent karakterláncot használ, amely utánozza a Windows 98 rendszeren futó Internet Explorert, hogy álcázza az eredetét. A szerver válaszát a rendszer egy fájlba menti, majd a hátsó ajtó összetevőt kicsomagolja és betölti a rendszer memóriájába.
Az inicializálási folyamat részeként az NSPX30 passzív UDP-figyelő socketet hoz létre, amely a vezérlőtől érkező parancsok fogadására és az adatok kiszűrésének megkönnyítésére szolgál. Ez valószínűleg DNS-lekérdezési csomagok elfogását jelenti a Command-and-Control (C2) infrastruktúra anonimizálása érdekében.
A hátsó ajtóhoz kapott utasítások különféle funkciókat tesznek lehetővé, beleértve a fordított shell létrehozását, a fájlinformációk összegyűjtését, bizonyos folyamatok leállítását, képernyőképek rögzítését, a billentyűleütések naplózását, és még önmaga eltávolítását is a fertőzött gépről.
