NSPX30 स्पाइवेयर
चीनसँग सम्बन्धित एक अज्ञात खतरा अभिनेता देखा परेको छ, धेरै विरोधी-इन-द-मिडल (AitM) आक्रमणहरूमा संलग्न। यी आक्रमणहरूमा NSPX30 भनेर चिनिने परिष्कृत इम्प्लान्ट प्रदान गर्ने उद्देश्यले वैध सफ्टवेयरबाट अद्यावधिक अनुरोधहरू अपहरण गर्ने समावेश छ। अन्वेषकहरूले यो उन्नत निरन्तर खतरा (एपीटी) समूहलाई 'ब्ल्याकवुड' भनेर पहिचान गर्दै निगरानी गरिरहेका छन्। तथ्याङ्कले यो साइबर अपराध समूह कम्तिमा 2018 देखि सञ्चालनमा रहेको देखाएको छ।
NSPX30 प्रत्यारोपण Tencent QQ, WPS Office, र Sogou Pinyin लगायतका प्रख्यात सफ्टवेयरको अपडेट मेकानिजमहरू मार्फत प्रयोग गरिएको घटनाहरूमा पत्ता लगाइएको छ। यी आक्रमणहरूको लक्ष्य चीन र जापानमा निर्माण, व्यापार र इन्जिनियरिङमा संलग्न कम्पनीहरू हुन्। थप रूपमा, चीन, जापान र बेलायतका व्यक्तिहरू पनि यी AitM आक्रमणहरूबाट प्रभावित भएका छन्।
सामग्रीको तालिका
NSPX30 स्पाइवेयर एक बहु-घटक खतरा हो
NSPX30 ले ड्रपर, इन्स्टलर, लोडर, अर्केस्ट्रेटर र ब्याकडोर सहित विभिन्न कम्पोनेन्टहरू समावेश गरी परिष्कृत बहु-स्टेज इम्प्लान्ट प्रतिनिधित्व गर्दछ। ब्याकडोर र अर्केस्ट्रेटर प्रत्येकसँग प्लगइनहरूको फरक सेटहरू हुन्छन्। इम्प्लान्टको वास्तुकला रणनीतिक रूपमा प्याकेट अवरोध क्षमताहरूको लाभ उठाउन डिजाइन गरिएको थियो, जसले NSPX30 अपरेटरहरूलाई प्रभावकारी रूपमा आफ्नो पूर्वाधार लुकाउन अनुमति दिन्छ।
ब्याकडोरको उत्पत्ति, जसमा स्व-अनुमति सूची मार्फत धेरै चिनियाँ एन्टी-मालवेयर समाधानहरूलाई रोक्ने अतिरिक्त क्षमता छ, जनवरी 2005 मा प्रस्तुत गरिएको प्रोजेक्ट वुड भनेर चिनिने पहिलेको मालवेयरमा पत्ता लगाउन सकिन्छ। प्रोजेक्ट वुड प्रणाली भेला गर्नको लागि बनाइएको थियो। र नेटवर्क जानकारी, कीस्ट्रोकहरू क्याप्चर गर्नुहोस्, र पीडित प्रणालीहरूको स्क्रिनसटहरू लिनुहोस्।
प्रोजेक्ट वुडको कोडबेसले 2008 मा DCM (डार्क स्पेक्टर पनि भनिन्छ) जस्ता डेरिभेटिभहरूलाई जन्म दिँदै विभिन्न प्रत्यारोपणहरूको लागि आधारभूत कार्यको रूपमा काम गरेको छ। पछि, यो मालवेयर हङकङ र ग्रेटरमा रुचि भएका व्यक्तिहरू विरुद्ध लक्षित आक्रमणहरूमा प्रयोग गरियो। 2012 र 2014 दुवै मा चीन क्षेत्र।
NSPX30 स्पाइवेयर को तैनाती को लागी हमला चेन
NSPX30 वैध सर्भरहरूबाट (अनइन्क्रिप्टेड) HTTP प्रोटोकल मार्फत सफ्टवेयर अद्यावधिकहरू डाउनलोड गर्ने प्रयास गर्ने प्रणालीहरूको सम्झौताद्वारा प्रस्तुत गरिएको हो। यो सम्झौताले ड्रपर DLL फाइलको तैनातीलाई सुविधा दिन्छ।
हानिपूर्ण ड्रपर, सम्झौता अपडेट प्रक्रियाको क्रममा सुरु गरिएको, डिस्कमा धेरै फाइलहरू उत्पन्न गर्दछ र एन्टिभाइरस सफ्टवेयरसँग सम्बन्धित बाइनरी 'RsStub.exe' को कार्यान्वयन सुरु गर्दछ। यो चरणले DLL साइड-लोडिङमा पहिलेको कमजोरीलाई शोषण गर्छ, 'comx3.dll' को सुरुवातलाई सक्षम पार्दै।
त्यसपछि, 'comx3.dll' ले लोडरको रूपमा काम गर्छ, 'comx3.dll.txt' नामको तेस्रो फाइल कार्यान्वयन गर्छ। यो फाइलले एक स्थापनाकर्ता पुस्तकालयको रूपमा कार्य गर्दछ, आक्रमण श्रृंखलाको अर्को चरण ट्रिगर गर्दै, अन्ततः अर्केस्ट्रेटर कम्पोनेन्ट ('WIN.cfg') को कार्यान्वयनमा नेतृत्व गर्दछ।
विशेष विधि जसद्वारा धम्की अभिनेताहरूले बोगस अपडेटहरूको रूपमा ड्रपर डेलिभर गर्छन् अज्ञात रहन्छ। यद्यपि, ऐतिहासिक ढाँचाहरूले संकेत गर्दछ कि चिनियाँ खतरा अभिनेताहरू, जस्तै BlackTech , Evasive Panda, Judgement Panda, र Mustang Panda ले मालवेयरको लागि वितरण च्यानलको रूपमा सम्झौता राउटरहरू प्रयोग गरेका छन्। अन्वेषकहरूले सम्भाव्यता सुझाव दिन्छन् कि आक्रमणकारीहरूले पीडितहरूको नेटवर्क भित्र नेटवर्क इम्प्लान्ट तैनाथ गरिरहेका छन्, सम्भावित रूपमा राउटर वा गेटवेहरू जस्ता कमजोर नेटवर्क उपकरणहरूलाई लक्षित गर्दै।
NSPX30 स्पाइवेयरले C2 आदेशहरूमा आधारित विशिष्ट कार्यहरू गर्न सक्छ
अर्केस्ट्रेटरले दुईवटा थ्रेडहरू सिर्जना गर्न थाल्छ: एउटा ब्याकडोर ('msfmtkl.dat') प्राप्त गर्न समर्पित र अर्को यसको प्लगइनहरू लोड गर्न र लोडर DLL हरूद्वारा चिनियाँ एन्टी-मालवेयर समाधानहरू बाइपास गर्न सक्षम पार्न बहिष्करणहरू समावेश गर्नमा केन्द्रित।
ब्याकडोर डाउनलोड गर्न, एक HTTP अनुरोध www.baidu[.]com मा गरिन्छ, Baidu को स्वामित्वमा रहेको वैध चिनियाँ खोज इन्जिन। अनुरोधले एक अपरंपरागत प्रयोगकर्ता-एजेन्ट स्ट्रिङ प्रयोग गर्दछ, Windows 98 मा इन्टरनेट एक्सप्लोररको नक्कल गर्दै यसको उत्पत्ति लुकाउन। सर्भरको प्रतिक्रिया फाइलमा सुरक्षित हुन्छ, र ब्याकडोर कम्पोनेन्ट निकालिन्छ र प्रणालीको मेमोरीमा लोड हुन्छ।
यसको प्रारम्भिक प्रक्रियाको भागको रूपमा, NSPX30 ले नियन्त्रकबाट आदेशहरू प्राप्त गर्न र डाटा एक्सफिल्टेसनलाई सहज बनाउन डिजाइन गरिएको निष्क्रिय UDP सुन्ने सकेट स्थापना गर्दछ। यसमा यसको कमाण्ड-एन्ड-कन्ट्रोल (C2) पूर्वाधार अज्ञात गर्नको लागि DNS क्वेरी प्याकेटहरू अवरोध गर्ने समावेश छ।
ब्याकडोरमा प्रदान गरिएका निर्देशनहरूले रिभर्स शेलको सिर्जना, फाइल जानकारी सङ्कलन, विशिष्ट प्रक्रियाहरू समाप्त गर्ने, स्क्रिनसटहरू क्याप्चर गर्ने, किस्ट्रोकहरू लग गर्ने, र संक्रमित मेसिनबाट आफूलाई अनइन्स्टल गर्नेलगायत विभिन्न प्रकार्यताहरूलाई सक्षम बनाउँछ।
