NSPX30 spyware
En uidentifisert trusselaktør knyttet til Kina har dukket opp, og har deltatt i flere motstander-i-midten (AitM)-angrep. Disse angrepene involverer kapring av oppdateringsforespørsler fra legitim programvare med den hensikt å levere et sofistikert implantat kjent som NSPX30. Forskere overvåker denne avanserte vedvarende trusselgruppen (APT) og identifiserer den som 'Blackwood'. Funnene tyder på at denne nettkriminalitetsgruppen har vært operativ siden minst 2018.
NSPX30-implantatet har blitt oppdaget i tilfeller der det ble distribuert gjennom oppdateringsmekanismene til kjent programvare, inkludert Tencent QQ, WPS Office og Sogou Pinyin. Målene for disse angrepene er selskaper involvert i produksjon, handel og ingeniørarbeid i Kina og Japan. I tillegg har enkeltpersoner i Kina, Japan og Storbritannia også blitt berørt av disse AitM-angrepene.
Innholdsfortegnelse
NSPX30-spionvare er en trussel med flere komponenter
NSPX30 representerer et sofistikert flertrinnsimplantat som består av ulike komponenter, inkludert en dropper, installatør, lastere, orkestrator og en bakdør. Bakdøren og orkestratoren har hvert sitt forskjellige sett med plugins. Implantatets arkitektur var strategisk utformet for å utnytte evnene til pakkeavskjæring, slik at NSPX30-operatører kan skjule infrastrukturen sin effektivt.
Opprinnelsen til bakdøren, som har den ekstra muligheten til å omgå flere kinesiske anti-malware-løsninger gjennom selvtillatelse, kan spores tilbake til en tidligere skadelig programvare kjent som Project Wood, introdusert i januar 2005. Project Wood ble laget for å samle system og nettverksinformasjon, fange opp tastetrykk og ta skjermbilder av offersystemer.
Kodebasen til Project Wood har fungert som grunnlaget for ulike implantater, og har gitt opphav til derivater som DCM (også kjent som Dark Spectre) i 2008. Deretter ble denne skadevaren brukt i målrettede angrep mot individer av interesse i Hong Kong og Greater Kina-området i både 2012 og 2014.
Angrepskjede for distribusjon av NSPX30-spionvare
NSPX30 introduseres gjennom kompromisset mellom systemer som prøver å laste ned programvareoppdateringer via den (ukrypterte) HTTP-protokollen fra legitime servere. Dette kompromisset letter distribusjonen av en dropper DLL-fil.
Den skadelige dropperen, initiert under den kompromitterte oppdateringsprosessen, genererer flere filer på disken og starter kjøringen av 'RsStub.exe', en binærfil assosiert med antivirusprogramvare. Dette trinnet utnytter sårbarheten til førstnevnte til DLL-sidelasting, og muliggjør lansering av 'comx3.dll.'
Deretter fungerer 'comx3.dll' som en laster, og kjører en tredje fil kalt 'comx3.dll.txt.' Denne filen fungerer som et installasjonsbibliotek, og utløser neste trinn i angrepskjeden, som til slutt fører til kjøring av orkestratorkomponenten ('WIN.cfg').
Den spesifikke metoden som trusselaktører leverer dropperen i form av falske oppdateringer er fortsatt ukjent. Historiske mønstre indikerer imidlertid at kinesiske trusselaktører, som BlackTech , Evasive Panda, Judgment Panda og Mustang Panda, har brukt kompromitterte rutere som en distribusjonskanal for skadelig programvare. Forskere antyder muligheten for at angriperne distribuerer et nettverksimplantat i ofrenes nettverk, potensielt rettet mot sårbare nettverksenheter som rutere eller gatewayer.
NSPX30-spionvaren kan utføre spesifikke handlinger basert på C2-kommandoer
Orkestratoren initierer opprettelsen av to tråder: en dedikert til å skaffe bakdøren ('msfmtkl.dat') og den andre fokusert på å laste inn plugins og inkludere ekskluderinger for å muliggjøre omgåelse av kinesiske anti-malware-løsninger av loader-DLLene.
For å laste ned bakdøren, sendes en HTTP-forespørsel til www.baidu[.]com, den legitime kinesiske søkemotoren som eies av Baidu. Forespørselen bruker en ukonvensjonell User-Agent-streng, som etterligner Internet Explorer på Windows 98 for å skjule opprinnelsen. Serverens svar lagres i en fil, og bakdørskomponenten trekkes deretter ut og lastes inn i systemets minne.
Som en del av initialiseringsprosessen etablerer NSPX30 en passiv UDP-lyttekontakt designet for å motta kommandoer fra kontrolleren og lette dataeksfiltrering. Dette innebærer sannsynligvis å avskjære DNS-spørringspakker for å anonymisere Command-and-Control (C2)-infrastrukturen.
Instruksjonene som er gitt til bakdøren muliggjør ulike funksjoner, inkludert å lage et omvendt skall, samle filinformasjon, avslutte spesifikke prosesser, ta skjermbilder, logge tastetrykk og til og med avinstallere seg selv fra den infiserte maskinen.
