NSPX30 spiegprogrammatūra
Ir parādījies neidentificēts ar Ķīnu saistīts draudu dalībnieks, kurš iesaistījies vairākos pretinieku vidū (AitM) uzbrukumos. Šie uzbrukumi ietver atjaunināšanas pieprasījumu nolaupīšanu no likumīgas programmatūras, lai piegādātu sarežģītu implantu, kas pazīstams kā NSPX30. Pētnieki uzrauga šo progresīvo pastāvīgo draudu (APT) grupu, identificējot to kā "Blackwood". Rezultāti liecina, ka šī kibernoziedzības grupa ir darbojusies vismaz kopš 2018. gada.
NSPX30 implants tika atklāts gadījumos, kad tas tika izvietots, izmantojot labi zināmas programmatūras atjaunināšanas mehānismus, tostarp Tencent QQ, WPS Office un Sogou Pinyin. Šo uzbrukumu mērķi ir uzņēmumi, kas nodarbojas ar ražošanu, tirdzniecību un inženieriju Ķīnā un Japānā. Turklāt šie AitM uzbrukumi ir skāruši arī personas Ķīnā, Japānā un Apvienotajā Karalistē.
Satura rādītājs
NSPX30 spiegprogrammatūra ir daudzkomponentu drauds
NSPX30 ir izsmalcināts daudzpakāpju implants, kas ietver dažādas sastāvdaļas, tostarp pilinātāju, uzstādītāju, iekrāvējus, orķestrētāju un aizmugures durvis. Aizmugures durvīm un orķestrim katram ir atsevišķas spraudņu kopas. Implanta arhitektūra tika stratēģiski izstrādāta, lai izmantotu pakešu pārtveršanas iespējas, ļaujot NSPX30 operatoriem efektīvi slēpt savu infrastruktūru.
Aizmugurējās durvis, kurām ir papildu iespēja apiet vairākus Ķīnas pretļaundabīgo programmu risinājumus, izmantojot pašatļaujas sarakstu, pirmsākumi meklējami agrākā ļaunprogrammatūrā, kas pazīstama kā Project Wood, kas tika ieviesta 2005. gada janvārī. Project Wood tika izstrādāts, lai apkopotu sistēmu. un tīkla informāciju, tveriet taustiņsitienus un uzņemiet cietušo sistēmu ekrānuzņēmumus.
Projekta Wood kodu bāze ir kalpojusi par pamatu dažādiem implantiem, kas 2008. gadā radīja tādus atvasinājumus kā DCM (pazīstams arī kā Dark Spectre). Pēc tam šī ļaunprogrammatūra tika izmantota mērķtiecīgiem uzbrukumiem interesējošām personām Honkongā un ārpus tās. Ķīnas apgabals gan 2012., gan 2014. gadā.
Uzbrukumu ķēde NSPX30 spiegprogrammatūras izvietošanai
NSPX30 tiek ieviests, izmantojot sistēmas, kas mēģina lejupielādēt programmatūras atjauninājumus no likumīgiem serveriem, izmantojot (nešifrētu) HTTP protokolu. Šis kompromiss atvieglo pilinātāja DLL faila izvietošanu.
Kaitīgais pilinātājs, kas tika uzsākts kompromitētā atjaunināšanas procesa laikā, ģenerē vairākus failus diskā un iniciē ar pretvīrusu programmatūru saistītu bināro RsStub.exe izpildi. Šajā darbībā tiek izmantota pirmās ievainojamība pret DLL sānu ielādi, ļaujot palaist failu “comx3.dll”.
Pēc tam "comx3.dll" kalpo kā ielādētājs, izpildot trešo failu ar nosaukumu "comx3.dll.txt". Šis fails darbojas kā instalētāja bibliotēka, aktivizējot nākamo uzbrukuma ķēdes posmu, kas galu galā noved pie orchestrator komponenta ('WIN.cfg') izpildes.
Konkrētā metode, ar kuras palīdzību apdraudējuma dalībnieki piegādā pilinātāju viltus atjauninājumu veidā, joprojām nav zināma. Tomēr vēsturiskie modeļi liecina, ka Ķīnas apdraudējuma dalībnieki, piemēram, BlackTech , Evasive Panda, Judgment Panda un Mustang Panda, ir izmantojuši apdraudētus maršrutētājus kā ļaunprātīgas programmatūras izplatīšanas kanālu. Pētnieki norāda uz iespēju, ka uzbrucēji upuru tīklos izvieto tīkla implantu, potenciāli vēršoties pret neaizsargātām tīkla ierīcēm, piemēram, maršrutētājiem vai vārtejām.
NSPX30 spiegprogrammatūra var veikt noteiktas darbības, pamatojoties uz C2 komandām
Orķestris uzsāk divu pavedienu izveidi: viens ir veltīts aizmugures durvju iegūšanai ('msfmtkl.dat'), bet otrs ir vērsts uz tā spraudņu ielādi un izņēmumu iekļaušanu, lai ielādētāja DLL varētu apiet Ķīnas pretļaundabīgo programmu risinājumus.
Lai lejupielādētu aizmugures durvis, vietnei www.baidu[.]com, likumīgai ķīniešu meklētājprogrammai, kas pieder Baidu, tiek veikts HTTP pieprasījums. Pieprasījumā tiek izmantota netradicionāla lietotāja aģenta virkne, kas atdarina pārlūkprogrammu Internet Explorer operētājsistēmā Windows 98, lai slēptu tā izcelsmi. Servera atbilde tiek saglabāta failā, un aizmugures durvju komponents tiek izvilkts un ielādēts sistēmas atmiņā.
Inicializācijas procesa ietvaros NSPX30 izveido pasīvo UDP klausīšanās ligzdu, kas paredzēta komandu saņemšanai no kontrollera un datu izfiltrēšanas atvieglošanai. Tas ietver, iespējams, DNS vaicājumu pakešu pārtveršanu, lai anonimizētu tās Command-and-Control (C2) infrastruktūru.
Aizmugures durvīm sniegtās instrukcijas nodrošina dažādas funkcijas, tostarp reversās čaulas izveidi, faila informācijas apkopošanu, noteiktu procesu pārtraukšanu, ekrānuzņēmumu tveršanu, taustiņu nospiešanu reģistrēšanu un pat pašas atinstalēšanu no inficētās mašīnas.
