NSPX30-spyware
Er is een ongeïdentificeerde dreigingsactor opgedoken die banden heeft met China en betrokken is bij verschillende Adversary-in-the-Middle (AitM)-aanvallen. Deze aanvallen omvatten het kapen van updateverzoeken van legitieme software met de bedoeling een geavanceerd implantaat te leveren dat bekend staat als NSPX30. Onderzoekers houden deze geavanceerde persistente dreigingsgroep (APT) in de gaten en identificeren deze als 'Blackwood'. De bevindingen suggereren dat deze cybercriminaliteitsgroep minstens sinds 2018 operationeel is.
Het NSPX30-implantaat is gedetecteerd in gevallen waarin het werd ingezet via de updatemechanismen van bekende software, waaronder Tencent QQ, WPS Office en Sogou Pinyin. Het doelwit van deze aanvallen zijn bedrijven die zich bezighouden met productie, handel en techniek in China en Japan. Bovendien zijn ook individuen in China, Japan en het Verenigd Koninkrijk getroffen door deze AitM-aanvallen.
Inhoudsopgave
De NSPX30-spyware is een bedreiging met meerdere componenten
NSPX30 vertegenwoordigt een geavanceerd meertrapsimplantaat dat verschillende componenten omvat, waaronder een druppelaar, installatieprogramma, laders, orkestrator en een achterdeur. De achterdeur en orkestrator beschikken elk over verschillende sets plug-ins. De architectuur van het implantaat is strategisch ontworpen om de mogelijkheden voor pakketinterceptie te benutten, waardoor NSPX30-operators hun infrastructuur effectief kunnen verbergen.
De oorsprong van de achterdeur, die de extra mogelijkheid heeft om verschillende Chinese anti-malwareoplossingen te omzeilen door middel van een zelf-toegestane lijst, is terug te voeren op een eerdere malware bekend als Project Wood, geïntroduceerd in januari 2005. Project Wood is gemaakt om systeemgegevens te verzamelen en netwerkinformatie, toetsaanslagen vastleggen en schermafbeeldingen maken van slachtoffersystemen.
De codebasis van Project Wood heeft als basis gediend voor verschillende implantaten, wat in 2008 aanleiding heeft gegeven tot derivaten zoals DCM (ook bekend als Dark Spectre). Vervolgens werd deze malware gebruikt bij gerichte aanvallen op personen van belang in Hong Kong en de Grote Oceaan. China in zowel 2012 als 2014.
Aanvalsketen voor de inzet van de NSPX30-spyware
NSPX30 wordt geïntroduceerd door het compromitteren van systemen die proberen software-updates te downloaden via het (niet-gecodeerde) HTTP-protocol van legitieme servers. Dit compromis vergemakkelijkt de implementatie van een dropper-DLL-bestand.
De schadelijke dropper, die tijdens het gecompromitteerde updateproces wordt gestart, genereert meerdere bestanden op de schijf en initieert de uitvoering van 'RsStub.exe', een binair bestand dat verband houdt met antivirussoftware. Deze stap maakt gebruik van de kwetsbaarheid van de eerste voor side-loading van DLL, waardoor de lancering van 'comx3.dll' mogelijk wordt.
Vervolgens dient 'comx3.dll' als lader en voert een derde bestand uit met de naam 'comx3.dll.txt'. Dit bestand functioneert als een installatiebibliotheek en activeert de volgende fase van de aanvalsketen, die uiteindelijk leidt tot de uitvoering van de Orchestrator-component ('WIN.cfg').
De specifieke methode waarmee bedreigingsactoren de dropper in de vorm van valse updates afleveren, blijft onbekend. Historische patronen wijzen er echter op dat Chinese bedreigingsactoren, zoals BlackTech , Evasive Panda, Judgment Panda en Mustang Panda, gecompromitteerde routers hebben gebruikt als distributiekanaal voor malware. Onderzoekers suggereren de mogelijkheid dat de aanvallers een netwerkimplantaat inzetten binnen de netwerken van de slachtoffers, waarbij ze zich mogelijk richten op kwetsbare netwerkapparatuur zoals routers of gateways.
De NSPX30 Spyware kan specifieke acties uitvoeren op basis van C2-opdrachten
De orkestrator initieert de creatie van twee threads: één gewijd aan het verwerven van de achterdeur ('msfmtkl.dat') en de andere gericht op het laden van de plug-ins en het opnemen van uitsluitingen om het omzeilen van Chinese anti-malware-oplossingen door de loader-DLL's mogelijk te maken.
Om de achterdeur te downloaden wordt een HTTP-verzoek gedaan aan www.baidu[.]com, de legitieme Chinese zoekmachine die eigendom is van Baidu. Het verzoek maakt gebruik van een onconventionele User-Agent-string, die Internet Explorer op Windows 98 nabootst om de oorsprong ervan te verhullen. Het antwoord van de server wordt opgeslagen in een bestand en de achterdeurcomponent wordt vervolgens geëxtraheerd en in het systeemgeheugen geladen.
Als onderdeel van het initialisatieproces brengt NSPX30 een passieve UDP-luistersocket tot stand, ontworpen om opdrachten van de controller te ontvangen en data-exfiltratie te vergemakkelijken. Dit omvat waarschijnlijk het onderscheppen van DNS-querypakketten om de Command-and-Control (C2)-infrastructuur te anonimiseren.
De instructies die aan de achterdeur worden gegeven, maken verschillende functionaliteiten mogelijk, waaronder het maken van een omgekeerde shell, het verzamelen van bestandsinformatie, het beëindigen van specifieke processen, het maken van schermafbeeldingen, het registreren van toetsaanslagen en zelfs het verwijderen van zichzelf van de geïnfecteerde machine.
