NSPX30 šnipinėjimo programa
Atsirado nenustatytas grėsmės veikėjas, susijęs su Kinija, dalyvaujantis keliose priešo viduryje (AitM) atakose. Šios atakos apima atnaujinimo užklausų užgrobimą iš teisėtos programinės įrangos, siekiant pristatyti sudėtingą implantą, žinomą kaip NSPX30. Tyrėjai stebi šią pažangią nuolatinės grėsmės (APT) grupę ir identifikuoja ją kaip „Blackwood“. Išvados rodo, kad ši elektroninių nusikaltimų grupė veikė mažiausiai nuo 2018 m.
NSPX30 implantas buvo aptiktas tais atvejais, kai jis buvo įdiegtas naudojant gerai žinomos programinės įrangos atnaujinimo mechanizmus, įskaitant Tencent QQ, WPS Office ir Sogou Pinyin. Šių atakų taikiniai yra įmonės, užsiimančios gamyba, prekyba ir inžinerija Kinijoje ir Japonijoje. Be to, asmenys Kinijoje, Japonijoje ir JK taip pat nukentėjo nuo šių AitM atakų.
Turinys
NSPX30 šnipinėjimo programa yra kelių komponentų grėsmė
NSPX30 yra sudėtingas daugiapakopis implantas, kurį sudaro įvairūs komponentai, įskaitant lašintuvą, montuotoją, krautuvus, orkestruotę ir užpakalines duris. „Backdoor“ ir „Orchestrator“ turi skirtingus papildinių rinkinius. Implanto architektūra buvo strategiškai sukurta taip, kad būtų panaudotos paketų perėmimo galimybės, leidžiančios NSPX30 operatoriams efektyviai nuslėpti savo infrastruktūrą.
Užpakalinių durų, turinčių papildomą galimybę apeiti kelis Kinijos kovos su kenkėjiškomis programomis sprendimus įtraukiant savaiminio leidimo sąrašą, ištakas galima atsekti iki ankstesnės kenkėjiškos programos, žinomos kaip Project Wood, pristatytos 2005 m. sausio mėn. Projektas Wood buvo sukurtas sistemai surinkti. ir tinklo informaciją, fiksuokite klavišų paspaudimus ir nufotografuokite aukų sistemų ekrano kopijas.
„Project Wood“ kodų bazė buvo įvairių implantų pagrindas, todėl 2008 m. atsirado dariniai, tokie kaip DCM (taip pat žinomas kaip „Dark Spectre“). Vėliau ši kenkėjiška programa buvo naudojama tikslinėms atakoms prieš dominančius asmenis Honkonge ir kitose šalyse. Kinijos sritis tiek 2012 m., tiek 2014 m.
Atakų grandinė, skirta NSPX30 šnipinėjimo programoms diegti
NSPX30 pristatomas dėl sistemų, bandančių atsisiųsti programinės įrangos naujinimus iš teisėtų serverių naudojant (nešifruotą) HTTP protokolą, kompromisą. Šis kompromisas palengvina dropper DLL failo diegimą.
Žalingas lašintuvas, inicijuotas per pažeistą atnaujinimo procesą, sugeneruoja kelis failus diske ir inicijuoja „RsStub.exe“ – dvejetainės programos, susijusios su antivirusine programine įranga, vykdymą. Šis veiksmas išnaudoja pirmosios pažeidžiamumą dėl DLL šoninio įkėlimo, leidžiant paleisti „comx3.dll“.
Vėliau „comx3.dll“ veikia kaip įkroviklis, paleidžiantis trečiąjį failą, pavadintą „comx3.dll.txt“. Šis failas veikia kaip diegimo programos biblioteka, suaktyvinanti kitą atakos grandinės etapą, galiausiai vedantį į orkestro komponento („WIN.cfg“) vykdymą.
Konkretus metodas, kuriuo grėsmės veikėjai pateikia nešvarumus netikrų atnaujinimų pavidalu, lieka nežinomas. Tačiau istoriniai modeliai rodo, kad Kinijos grėsmės veikėjai, tokie kaip BlackTech , Evasive Panda, Judgment Panda ir Mustang Panda, naudojo pažeistus maršrutizatorius kaip kenkėjiškų programų platinimo kanalą. Tyrėjai siūlo galimybę, kad užpuolikai aukų tinkluose įdiegia tinklo implantą, potencialiai nukreipdami į pažeidžiamus tinklo įrenginius, tokius kaip maršrutizatoriai ar šliuzai.
NSPX30 šnipinėjimo programa gali atlikti konkrečius veiksmus pagal C2 komandas
Orkestratorius inicijuoja dviejų gijų kūrimą: viena skirta užpakalinėms durims įsigyti („msfmtkl.dat“), o kita skirta įkelti papildinius ir įtraukti išskyrimus, kad įkelti DLL galėtų apeiti Kinijos kovos su kenkėjiškomis programomis sprendimus.
Norint atsisiųsti užpakalines duris, HTTP užklausa pateikiama adresu www.baidu[.]com – teisėtai kinų paieškos sistemai, priklausančiai „Baidu“. Užklausoje naudojama netradicinė vartotojo agento eilutė, imituojanti „Internet Explorer“ sistemoje „Windows 98“, kad nuslėptų jos kilmę. Serverio atsakymas išsaugomas faile, o užpakalinių durų komponentas ištraukiamas ir įkeliamas į sistemos atmintį.
Vykdydamas inicijavimo procesą, NSPX30 sukuria pasyvų UDP klausymosi lizdą, skirtą gauti komandas iš valdiklio ir palengvinti duomenų išfiltravimą. Tai apima greičiausiai DNS užklausų paketų perėmimą, kad būtų anonimizuota komandų ir valdymo (C2) infrastruktūra.
Užpakalinėms durims pateiktos instrukcijos leidžia atlikti įvairias funkcijas, įskaitant atvirkštinio apvalkalo kūrimą, failų informacijos rinkimą, konkrečių procesų nutraukimą, ekrano kopijų fiksavimą, klavišų paspaudimų registravimą ir net savęs pašalinimą iš užkrėsto įrenginio.
