Spyware NSPX30
È emerso un attore di minacce non identificato associato alla Cina, impegnato in diversi attacchi Adversary-in-the-Middle (AitM). Questi attacchi implicano il dirottamento delle richieste di aggiornamento da parte di software legittimo con l'intenzione di fornire un sofisticato impianto noto come NSPX30. I ricercatori stanno monitorando questo gruppo di minacce avanzate persistenti (APT), identificandolo come "Blackwood". I risultati suggeriscono che questo gruppo di criminalità informatica è operativo almeno dal 2018.
L'impianto NSPX30 è stato rilevato in casi in cui è stato implementato attraverso i meccanismi di aggiornamento di software noti, tra cui Tencent QQ, WPS Office e Sogou Pinyin. Gli obiettivi di questi attacchi sono aziende coinvolte nella produzione, nel commercio e nell’ingegneria in Cina e Giappone. Inoltre, anche individui in Cina, Giappone e Regno Unito sono stati colpiti da questi attacchi AitM.
Sommario
Lo spyware NSPX30 è una minaccia multicomponente
NSPX30 rappresenta un sofisticato impianto multistadio comprendente vari componenti, tra cui un contagocce, un installatore, caricatori, un orchestratore e una backdoor. La backdoor e l'orchestratore possiedono ciascuno set distinti di plug-in. L'architettura dell'impianto è stata progettata strategicamente per sfruttare le capacità di intercettazione dei pacchetti, consentendo agli operatori NSPX30 di nascondere la propria infrastruttura in modo efficace.
Le origini della backdoor, che ha la capacità aggiuntiva di aggirare diverse soluzioni anti-malware cinesi attraverso l'elenco di auto-autorizzazione, possono essere ricondotte a un precedente malware noto come Project Wood, introdotto nel gennaio 2005. Project Wood è stato creato per raccogliere sistema e informazioni di rete, acquisire sequenze di tasti e acquisire screenshot dei sistemi vittima.
Il codice base del progetto Wood è servito come base per vari impianti, dando origine nel 2008 a derivati come DCM (noto anche come Dark Spectre). Successivamente, questo malware è stato utilizzato in attacchi mirati contro individui di interesse a Hong Kong e nell'area metropolitana. Area cinese sia nel 2012 che nel 2014.
Catena di attacchi per la distribuzione dello spyware NSPX30
NSPX30 viene introdotto compromettendo i sistemi che tentano di scaricare aggiornamenti software tramite il protocollo HTTP (non crittografato) da server legittimi. Questo compromesso facilita la distribuzione di un file DLL dropper.
Il dannoso dropper, avviato durante il processo di aggiornamento compromesso, genera più file sul disco e avvia l'esecuzione di "RsStub.exe", un file binario associato al software antivirus. Questo passaggio sfrutta la vulnerabilità del primo al caricamento laterale delle DLL, consentendo il lancio di "comx3.dll".
Successivamente, "comx3.dll" funge da caricatore, eseguendo un terzo file denominato "comx3.dll.txt". Questo file funziona come una libreria di installazione, attivando la fase successiva della catena di attacco, che porta infine all'esecuzione del componente orchestratore ("WIN.cfg").
Il metodo specifico con cui gli autori delle minacce consegnano il dropper sotto forma di aggiornamenti fasulli rimane sconosciuto. Tuttavia, i modelli storici indicano che gli autori di minacce cinesi, come BlackTech , Evasive Panda, Judgment Panda e Mustang Panda, hanno utilizzato router compromessi come canale di distribuzione del malware. I ricercatori suggeriscono la possibilità che gli aggressori stiano implementando un impianto di rete all'interno delle reti delle vittime, prendendo di mira potenzialmente dispositivi di rete vulnerabili come router o gateway.
Lo spyware NSPX30 può eseguire azioni specifiche basate su comandi C2
L'orchestratore avvia la creazione di due thread: uno dedicato all'acquisizione della backdoor ('msfmtkl.dat') e l'altro focalizzato sul caricamento dei plug-in e sull'incorporazione di esclusioni per consentire il bypass delle soluzioni anti-malware cinesi da parte delle DLL di caricamento.
Per scaricare la backdoor viene effettuata una richiesta HTTP a www.baidu[.]com, il legittimo motore di ricerca cinese di proprietà di Baidu. La richiesta utilizza una stringa User-Agent non convenzionale, che imita Internet Explorer su Windows 98 per mascherarne l'origine. La risposta del server viene salvata in un file e il componente backdoor viene quindi estratto e caricato nella memoria del sistema.
Come parte del processo di inizializzazione, NSPX30 stabilisce un socket di ascolto UDP passivo progettato per ricevere comandi dal controller e facilitare l'esfiltrazione dei dati. Ciò comporta probabilmente l’intercettazione dei pacchetti di query DNS per anonimizzare la sua infrastruttura di comando e controllo (C2).
Le istruzioni fornite alla backdoor abilitano varie funzionalità, tra cui la creazione di una shell inversa, la raccolta di informazioni sui file, la terminazione di processi specifici, l'acquisizione di schermate, la registrazione delle sequenze di tasti e persino la disinstallazione dalla macchina infetta.
