Perisian Perisik NSPX30
Seorang pelakon ancaman yang tidak dikenali yang dikaitkan dengan China telah muncul, terlibat dalam beberapa serangan Adversary-in-the-Middle (AitM). Serangan ini melibatkan rampasan permintaan kemas kini daripada perisian yang sah dengan tujuan untuk menghantar implan canggih yang dikenali sebagai NSPX30. Penyelidik sedang memantau kumpulan ancaman berterusan lanjutan (APT) ini, mengenal pasti ia sebagai 'Blackwood.' Penemuan menunjukkan bahawa kumpulan jenayah siber ini telah beroperasi sejak sekurang-kurangnya 2018.
Implan NSPX30 telah dikesan dalam keadaan di mana ia digunakan melalui mekanisme kemas kini perisian terkenal, termasuk Tencent QQ, Pejabat WPS dan Sogou Pinyin. Sasaran serangan ini adalah syarikat yang terlibat dalam pembuatan, perdagangan dan kejuruteraan di China dan Jepun. Selain itu, individu di China, Jepun dan UK juga telah terjejas oleh serangan AitM ini.
Isi kandungan
Perisian Perisik NSPX30 ialah Ancaman Berbilang Komponen
NSPX30 mewakili implan berbilang peringkat yang canggih yang terdiri daripada pelbagai komponen, termasuk penitis, pemasang, pemuat, orkestra dan pintu belakang. Pintu belakang dan orkestra masing-masing mempunyai set pemalam yang berbeza. Seni bina implan direka secara strategik untuk memanfaatkan keupayaan pemintasan paket, membolehkan pengendali NSPX30 menyembunyikan infrastruktur mereka dengan berkesan.
Asal usul pintu belakang, yang mempunyai keupayaan tambahan untuk memintas beberapa penyelesaian anti-perisian hasad China melalui penyenaraian membenarkan diri, boleh dikesan kembali kepada perisian hasad terdahulu yang dikenali sebagai Project Wood, yang diperkenalkan pada Januari 2005. Project Wood telah direka untuk mengumpulkan sistem dan maklumat rangkaian, menangkap ketukan kekunci, dan mengambil tangkapan skrin sistem mangsa.
Pangkalan kod Project Wood telah berfungsi sebagai asas untuk pelbagai implan, yang menimbulkan derivatif seperti DCM (juga dikenali sebagai Dark Spectre) pada tahun 2008. Selepas itu, perisian hasad ini digunakan dalam serangan yang disasarkan terhadap individu yang berkepentingan di Hong Kong dan Greater Kawasan China pada tahun 2012 dan 2014.
Rantaian Serangan untuk Penggunaan Perisian Perisik NSPX30
NSPX30 diperkenalkan melalui kompromi sistem yang cuba memuat turun kemas kini perisian melalui protokol HTTP (tidak disulitkan) daripada pelayan yang sah. Kompromi ini memudahkan penggunaan fail DLL penitis.
Penitis yang menyakitkan, yang dimulakan semasa proses kemas kini yang terjejas, menjana berbilang fail pada cakera dan memulakan pelaksanaan 'RsStub.exe,' binari yang dikaitkan dengan perisian antivirus. Langkah ini mengeksploitasi kerentanan bekas kepada pemuatan sisi DLL, membolehkan pelancaran 'comx3.dll.'
Selepas itu, 'comx3.dll' berfungsi sebagai pemuat, melaksanakan fail ketiga bernama 'comx3.dll.txt.' Fail ini berfungsi sebagai perpustakaan pemasang, mencetuskan peringkat seterusnya rantaian serangan, akhirnya membawa kepada pelaksanaan komponen orkestra ('WIN.cfg').
Kaedah khusus yang digunakan oleh pelaku ancaman menghantar penitis dalam bentuk kemas kini palsu masih tidak diketahui. Walau bagaimanapun, corak sejarah menunjukkan bahawa pelakon ancaman China, seperti BlackTech , Evasive Panda, Judgment Panda dan Mustang Panda, telah menggunakan penghala yang terjejas sebagai saluran pengedaran untuk perisian hasad. Penyelidik mencadangkan kemungkinan bahawa penyerang menggunakan implan rangkaian dalam rangkaian mangsa, yang berpotensi menyasarkan peralatan rangkaian yang terdedah seperti penghala atau pintu masuk.
Perisian Perisik NSPX30 boleh Melakukan Tindakan Khusus Berdasarkan Arahan C2
Orkestra memulakan penciptaan dua utas: satu khusus untuk memperoleh pintu belakang ('msfmtkl.dat') dan satu lagi memfokuskan pada memuatkan pemalamnya dan memasukkan pengecualian untuk membolehkan memintas penyelesaian anti-malware Cina oleh DLL pemuat.
Untuk memuat turun pintu belakang, permintaan HTTP dibuat kepada www.baidu[.]com, enjin carian Cina yang sah yang dimiliki oleh Baidu. Permintaan itu menggunakan rentetan Agen Pengguna yang tidak konvensional, meniru Internet Explorer pada Windows 98 untuk menyamarkan asalnya. Respons pelayan disimpan pada fail, dan komponen pintu belakang kemudian diekstrak dan dimuatkan ke dalam memori sistem.
Sebagai sebahagian daripada proses permulaannya, NSPX30 mewujudkan soket mendengar UDP pasif yang direka untuk menerima arahan daripada pengawal dan memudahkan penyusutan data. Ini melibatkan kemungkinan memintas paket pertanyaan DNS untuk menamakan infrastruktur Command-and-Control (C2)nya.
Arahan yang diberikan kepada pintu belakang membolehkan pelbagai fungsi, termasuk penciptaan cangkerang terbalik, mengumpul maklumat fail, menamatkan proses tertentu, menangkap tangkapan skrin, mengelog ketukan kekunci, dan juga menyahpasang dirinya daripada mesin yang dijangkiti.
