Multi-License Discount Quote
위협 데이터베이스 Spyware NSPX30 스파이웨어

NSPX30 스파이웨어

Spyware, Advanced Persistent Threat (APT)년에 Mezo 년까지
번역 :
한국어

중국과 연관된 정체 불명의 위협 행위자가 등장하여 여러 차례 AitM(중간자) 공격을 가하고 있습니다. 이러한 공격에는 NSPX30이라는 정교한 임플란트를 제공하려는 의도로 합법적인 소프트웨어의 업데이트 요청을 하이재킹하는 것이 포함됩니다. 연구진은 이 APT(지능형지속위협) 그룹을 모니터링하며 '블랙우드'로 식별하고 있다. 조사 결과에 따르면 이 사이버 범죄 그룹은 적어도 2018년부터 활동해 온 것으로 나타났습니다.

NSPX30 임플란트는 Tencent QQ, WPS Office, Sogou Pinyin 등 잘 알려진 소프트웨어의 업데이트 메커니즘을 통해 배포된 사례에서 감지되었습니다. 이러한 공격의 대상은 중국과 일본의 제조, 무역, 엔지니어링 관련 기업입니다. 또한 중국, 일본 및 영국의 개인도 이러한 AitM 공격의 영향을 받았습니다.

NSPX30 스파이웨어는 다중 구성 요소 위협입니다

NSPX30은 드로퍼, 설치기, 로더, 오케스트레이터 및 백도어를 포함한 다양한 구성 요소로 구성된 정교한 다단계 임플란트를 나타냅니다. 백도어와 오케스트레이터는 각각 고유한 플러그인 세트를 보유합니다. 임플란트의 아키텍처는 패킷 차단 기능을 활용하도록 전략적으로 설계되어 NSPX30 운영자가 인프라를 효과적으로 숨길 수 있습니다.

자체 허용 목록을 통해 여러 중국 맬웨어 방지 솔루션을 우회하는 추가 기능을 갖춘 백도어의 기원은 2005년 1월에 도입된 Project Wood로 알려진 초기 맬웨어로 거슬러 올라갈 수 있습니다. Project Wood는 시스템을 수집하기 위해 제작되었습니다. 네트워크 정보, 키 입력 캡처, 피해자 시스템의 스크린샷 찍기 등이 있습니다.

Project Wood의 코드베이스는 다양한 임플란트의 기반 역할을 하여 2008년에 DCM(Dark Specter라고도 함)과 같은 파생물이 탄생했습니다. 이후 이 악성 코드는 홍콩 및 그레이터 지역에 관심 있는 개인을 대상으로 한 표적 공격에 사용되었습니다. 2012년과 2014년 중국 지역.

NSPX30 스파이웨어 배포를 위한 공격 체인

NSPX30은 합법적인 서버에서 (암호화되지 않은) HTTP 프로토콜을 통해 소프트웨어 업데이트를 다운로드하려고 시도하는 시스템의 손상을 통해 도입되었습니다. 이러한 손상으로 인해 드로퍼 DLL 파일의 배포가 쉬워집니다.

손상된 업데이트 프로세스 중에 시작되는 유해한 드로퍼는 디스크에 여러 파일을 생성하고 바이러스 백신 소프트웨어와 관련된 바이너리인 'RsStub.exe'의 실행을 시작합니다. 이 단계에서는 전자의 DLL 사이드 로딩 취약점을 이용하여 'comx3.dll'을 실행할 수 있습니다.

이후 'comx3.dll'은 로더 역할을 하여 'comx3.dll.txt'라는 세 번째 파일을 실행합니다. 이 파일은 설치 프로그램 라이브러리로 작동하여 공격 체인의 다음 단계를 트리거하고 궁극적으로 오케스트레이터 구성 요소('WIN.cfg')의 실행으로 이어집니다.

위협 행위자가 가짜 업데이트 형태로 드로퍼를 전달하는 구체적인 방법은 아직 알려지지 않았습니다. 그러나 과거 패턴에 따르면 BlackTech , Evasive Panda, Judgment Panda 및 Mustang Panda와 같은 중국 위협 행위자는 손상된 라우터를 악성 코드 배포 채널로 활용했습니다. 연구원들은 공격자가 피해자의 네트워크 내에 네트워크 임플란트를 배포하여 잠재적으로 라우터나 게이트웨이와 같은 취약한 네트워크 장비를 표적으로 삼을 가능성을 제시합니다.

NSPX30 스파이웨어는 C2 명령을 기반으로 특정 작업을 수행할 수 있습니다.

오케스트레이터는 두 개의 스레드 생성을 시작합니다. 하나는 백도어('msfmtkl.dat') 획득 전용이고 다른 하나는 플러그인 로드 및 로더 DLL이 중국 맬웨어 방지 솔루션을 우회할 수 있도록 제외 항목을 통합하는 데 중점을 둡니다.

백도어를 다운로드하기 위해 Baidu가 소유한 합법적인 중국 검색 엔진인 www.baidu[.]com에 HTTP 요청이 이루어집니다. 요청은 원본을 위장하기 위해 Windows 98의 Internet Explorer를 모방하는 색다른 User-Agent 문자열을 사용합니다. 서버의 응답은 파일에 저장되고 백도어 구성 요소가 추출되어 시스템 메모리에 로드됩니다.

초기화 프로세스의 일부로 NSPX30은 컨트롤러로부터 명령을 수신하고 데이터 유출을 용이하게 하도록 설계된 패시브 UDP 청취 소켓을 설정합니다. 여기에는 명령 및 제어(C2) 인프라를 익명화하기 위해 DNS 쿼리 패킷을 가로채는 것이 포함됩니다.

백도어에 제공된 지침은 리버스 셸 생성, 파일 정보 수집, 특정 프로세스 종료, 스크린샷 캡처, 키 입력 기록, 감염된 시스템에서 자체 제거 등 다양한 기능을 활성화합니다.

트렌드

ClickManager

Mac Malware, Adware, 잠재적으로 원하지 않는 프로그램
ClickManager 응용 프로그램은 다양한 수단을 통해 배포될 수 있는 모호한 소프트웨어 제품입니다. AdLoad 애드웨어 제품군은 특히 Mac 사용자를 대상으로 하는 침입형 애플리케이션 생성과 관련하여 인기 있는 선택으로 계속 그 위치를 유지하고 있으며 ClickManager는 이러한 생성 중 하나입니다. 대부분의 PUP(Potentially...

Cdtt 랜섬웨어

Ransomware
Cdtt 랜섬웨어는 피해자 데이터를 표적으로 삼고 매우 강력한 암호화 알고리즘을 사용하여 이를 암호화하도록 제작된 위협적인 소프트웨어의 한 형태입니다. 이러한 유형의 맬웨어는 재정적 동기를 지닌 공격에 참여하는 사이버 범죄자가 일반적으로 사용합니다. 그들은 장치를 손상시킨 다음 피해자에게 몸값을 지불하도록 압력을 가하여 귀중한 데이터에 다시 액세스할...

가장 많이 본

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

Issue
58,345
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

Issue
47,644
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
로드 중...