NSPX30 ਸਪਾਈਵੇਅਰ
ਚੀਨ ਨਾਲ ਜੁੜਿਆ ਇੱਕ ਅਣਪਛਾਤਾ ਖ਼ਤਰਾ ਅਭਿਨੇਤਾ ਸਾਹਮਣੇ ਆਇਆ ਹੈ, ਜੋ ਕਈ ਵਿਰੋਧੀ-ਵਿੱਚ-ਮੱਧ (AitM) ਹਮਲਿਆਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹੈ। ਇਹਨਾਂ ਹਮਲਿਆਂ ਵਿੱਚ NSPX30 ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਵਧੀਆ ਇਮਪਲਾਂਟ ਪ੍ਰਦਾਨ ਕਰਨ ਦੇ ਇਰਾਦੇ ਨਾਲ ਜਾਇਜ਼ ਸੌਫਟਵੇਅਰ ਤੋਂ ਅੱਪਡੇਟ ਬੇਨਤੀਆਂ ਨੂੰ ਹਾਈਜੈਕ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ। ਖੋਜਕਰਤਾ ਇਸ ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਟ ਖ਼ਤਰੇ (APT) ਸਮੂਹ ਦੀ ਨਿਗਰਾਨੀ ਕਰ ਰਹੇ ਹਨ, ਇਸਦੀ ਪਛਾਣ 'ਬਲੈਕਵੁੱਡ' ਵਜੋਂ ਕਰਦੇ ਹਨ। ਖੋਜਾਂ ਤੋਂ ਪਤਾ ਲੱਗਦਾ ਹੈ ਕਿ ਇਹ ਸਾਈਬਰ ਕ੍ਰਾਈਮ ਗਰੁੱਪ ਘੱਟੋ-ਘੱਟ 2018 ਤੋਂ ਕੰਮ ਕਰ ਰਿਹਾ ਹੈ।
NSPX30 ਇਮਪਲਾਂਟ ਨੂੰ ਅਜਿਹੇ ਮੌਕਿਆਂ ਵਿੱਚ ਖੋਜਿਆ ਗਿਆ ਹੈ ਜਿੱਥੇ ਇਸਨੂੰ Tencent QQ, WPS Office, ਅਤੇ Sogou Pinyin ਸਮੇਤ ਮਸ਼ਹੂਰ ਸੌਫਟਵੇਅਰ ਦੇ ਅੱਪਡੇਟ ਮਕੈਨਿਜ਼ਮ ਦੁਆਰਾ ਤੈਨਾਤ ਕੀਤਾ ਗਿਆ ਸੀ। ਇਨ੍ਹਾਂ ਹਮਲਿਆਂ ਦਾ ਨਿਸ਼ਾਨਾ ਚੀਨ ਅਤੇ ਜਾਪਾਨ ਵਿੱਚ ਨਿਰਮਾਣ, ਵਪਾਰ ਅਤੇ ਇੰਜੀਨੀਅਰਿੰਗ ਵਿੱਚ ਸ਼ਾਮਲ ਕੰਪਨੀਆਂ ਹਨ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਚੀਨ, ਜਾਪਾਨ ਅਤੇ ਯੂਕੇ ਦੇ ਲੋਕ ਵੀ ਇਹਨਾਂ AitM ਹਮਲਿਆਂ ਤੋਂ ਪ੍ਰਭਾਵਿਤ ਹੋਏ ਹਨ।
ਵਿਸ਼ਾ - ਸੂਚੀ
NSPX30 ਸਪਾਈਵੇਅਰ ਇੱਕ ਮਲਟੀ-ਕੰਪੋਨੈਂਟ ਖ਼ਤਰਾ ਹੈ
NSPX30 ਇੱਕ ਸੂਝਵਾਨ ਮਲਟੀਸਟੇਜ ਇਮਪਲਾਂਟ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ ਜਿਸ ਵਿੱਚ ਇੱਕ ਡਰਾਪਰ, ਇੰਸਟਾਲਰ, ਲੋਡਰ, ਆਰਕੈਸਟਰੇਟਰ, ਅਤੇ ਇੱਕ ਬੈਕਡੋਰ ਸਮੇਤ ਵੱਖ-ਵੱਖ ਭਾਗ ਸ਼ਾਮਲ ਹੁੰਦੇ ਹਨ। ਬੈਕਡੋਰ ਅਤੇ ਆਰਕੈਸਟਰੇਟਰ ਹਰੇਕ ਕੋਲ ਪਲੱਗਇਨਾਂ ਦੇ ਵੱਖਰੇ ਸੈੱਟ ਹੁੰਦੇ ਹਨ। ਇਮਪਲਾਂਟ ਦਾ ਆਰਕੀਟੈਕਚਰ ਰਣਨੀਤਕ ਤੌਰ 'ਤੇ ਪੈਕੇਟ ਇੰਟਰਸੈਪਸ਼ਨ ਸਮਰੱਥਾਵਾਂ ਦਾ ਲਾਭ ਉਠਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਸੀ, ਜਿਸ ਨਾਲ NSPX30 ਆਪਰੇਟਰ ਆਪਣੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨੂੰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਲੁਕਾ ਸਕਦੇ ਸਨ।
ਬੈਕਡੋਰ ਦੀ ਸ਼ੁਰੂਆਤ, ਜਿਸ ਵਿੱਚ ਸਵੈ-ਇਜਾਜ਼ਤ ਸੂਚੀ ਰਾਹੀਂ ਕਈ ਚੀਨੀ ਐਂਟੀ-ਮਾਲਵੇਅਰ ਹੱਲਾਂ ਨੂੰ ਰੋਕਣ ਦੀ ਵਾਧੂ ਸਮਰੱਥਾ ਹੈ, ਨੂੰ ਪ੍ਰੋਜੈਕਟ ਵੁੱਡ ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਪੁਰਾਣੇ ਮਾਲਵੇਅਰ ਤੋਂ ਲੱਭਿਆ ਜਾ ਸਕਦਾ ਹੈ, ਜੋ ਜਨਵਰੀ 2005 ਵਿੱਚ ਪੇਸ਼ ਕੀਤਾ ਗਿਆ ਸੀ। ਪ੍ਰੋਜੈਕਟ ਵੁੱਡ ਸਿਸਟਮ ਨੂੰ ਇਕੱਠਾ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਸੀ। ਅਤੇ ਨੈੱਟਵਰਕ ਜਾਣਕਾਰੀ, ਕੀਸਟ੍ਰੋਕ ਕੈਪਚਰ ਕਰੋ, ਅਤੇ ਪੀੜਤ ਪ੍ਰਣਾਲੀਆਂ ਦੇ ਸਕ੍ਰੀਨਸ਼ਾਟ ਲਓ।
ਪ੍ਰੋਜੈਕਟ ਵੁੱਡ ਦੇ ਕੋਡਬੇਸ ਨੇ 2008 ਵਿੱਚ ਡੀਸੀਐਮ (ਡਾਰਕ ਸਪੈਕਟਰ ਵਜੋਂ ਵੀ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ) ਵਰਗੇ ਡੈਰੀਵੇਟਿਵਜ਼ ਨੂੰ ਜਨਮ ਦਿੰਦੇ ਹੋਏ ਵੱਖ-ਵੱਖ ਇਮਪਲਾਂਟ ਲਈ ਆਧਾਰ ਦਾ ਕੰਮ ਕੀਤਾ ਹੈ। ਇਸ ਤੋਂ ਬਾਅਦ, ਇਸ ਮਾਲਵੇਅਰ ਨੂੰ ਹਾਂਗਕਾਂਗ ਅਤੇ ਗ੍ਰੇਟਰ ਵਿੱਚ ਦਿਲਚਸਪੀ ਰੱਖਣ ਵਾਲੇ ਵਿਅਕਤੀਆਂ ਦੇ ਵਿਰੁੱਧ ਨਿਸ਼ਾਨਾ ਹਮਲਿਆਂ ਵਿੱਚ ਲਗਾਇਆ ਗਿਆ ਸੀ। 2012 ਅਤੇ 2014 ਦੋਵਾਂ ਵਿੱਚ ਚੀਨ ਦਾ ਖੇਤਰ.
NSPX30 ਸਪਾਈਵੇਅਰ ਦੀ ਤੈਨਾਤੀ ਲਈ ਅਟੈਕ ਚੇਨ
NSPX30 ਨੂੰ ਵੈਧ ਸਰਵਰਾਂ ਤੋਂ (ਅਨ-ਇਨਕ੍ਰਿਪਟਡ) HTTP ਪ੍ਰੋਟੋਕੋਲ ਰਾਹੀਂ ਸਾਫਟਵੇਅਰ ਅੱਪਡੇਟ ਡਾਊਨਲੋਡ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਨ ਵਾਲੇ ਸਿਸਟਮਾਂ ਦੇ ਸਮਝੌਤੇ ਰਾਹੀਂ ਪੇਸ਼ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹ ਸਮਝੌਤਾ ਇੱਕ ਡਰਾਪਰ DLL ਫਾਈਲ ਦੀ ਤੈਨਾਤੀ ਦੀ ਸਹੂਲਤ ਦਿੰਦਾ ਹੈ।
ਨੁਕਸਾਨਦਾਇਕ ਡਰਾਪਰ, ਸਮਝੌਤਾ ਅੱਪਡੇਟ ਪ੍ਰਕਿਰਿਆ ਦੇ ਦੌਰਾਨ ਸ਼ੁਰੂ ਕੀਤਾ ਗਿਆ, ਡਿਸਕ 'ਤੇ ਮਲਟੀਪਲ ਫਾਈਲਾਂ ਬਣਾਉਂਦਾ ਹੈ ਅਤੇ ਐਂਟੀਵਾਇਰਸ ਸੌਫਟਵੇਅਰ ਨਾਲ ਜੁੜੀ ਇੱਕ ਬਾਈਨਰੀ 'RsStub.exe' ਨੂੰ ਚਲਾਉਣ ਦੀ ਸ਼ੁਰੂਆਤ ਕਰਦਾ ਹੈ। ਇਹ ਕਦਮ DLL ਸਾਈਡ-ਲੋਡਿੰਗ ਲਈ ਸਾਬਕਾ ਦੀ ਕਮਜ਼ੋਰੀ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦਾ ਹੈ, 'comx3.dll' ਦੀ ਸ਼ੁਰੂਆਤ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ।
ਇਸ ਤੋਂ ਬਾਅਦ, 'comx3.dll' ਇੱਕ ਲੋਡਰ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ, 'comx3.dll.txt' ਨਾਂ ਦੀ ਤੀਜੀ ਫਾਈਲ ਨੂੰ ਚਲਾਉਂਦਾ ਹੈ। ਇਹ ਫਾਈਲ ਇੱਕ ਇੰਸਟੌਲਰ ਲਾਇਬ੍ਰੇਰੀ ਦੇ ਤੌਰ ਤੇ ਕੰਮ ਕਰਦੀ ਹੈ, ਅਟੈਕ ਚੇਨ ਦੇ ਅਗਲੇ ਪੜਾਅ ਨੂੰ ਚਾਲੂ ਕਰਦੀ ਹੈ, ਅੰਤ ਵਿੱਚ ਆਰਕੈਸਟਰੇਟਰ ਕੰਪੋਨੈਂਟ ('WIN.cfg') ਨੂੰ ਲਾਗੂ ਕਰਨ ਲਈ ਅਗਵਾਈ ਕਰਦੀ ਹੈ।
ਖਾਸ ਤਰੀਕਾ ਜਿਸ ਦੁਆਰਾ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰ ਡਰਾਪਰ ਨੂੰ ਜਾਅਲੀ ਅਪਡੇਟਾਂ ਦੇ ਰੂਪ ਵਿੱਚ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ ਅਣਜਾਣ ਹੈ। ਹਾਲਾਂਕਿ, ਇਤਿਹਾਸਕ ਪੈਟਰਨ ਦਰਸਾਉਂਦੇ ਹਨ ਕਿ ਚੀਨੀ ਧਮਕੀ ਅਦਾਕਾਰਾਂ, ਜਿਵੇਂ ਕਿ ਬਲੈਕਟੈਕ , ਇਵੈਸਿਵ ਪਾਂਡਾ, ਜੱਜਮੈਂਟ ਪਾਂਡਾ, ਅਤੇ ਮਸਟੈਂਗ ਪਾਂਡਾ, ਨੇ ਮਾਲਵੇਅਰ ਲਈ ਇੱਕ ਵੰਡ ਚੈਨਲ ਵਜੋਂ ਸਮਝੌਤਾ ਕੀਤੇ ਰਾਊਟਰਾਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਹੈ। ਖੋਜਕਰਤਾ ਇਸ ਸੰਭਾਵਨਾ ਦਾ ਸੁਝਾਅ ਦਿੰਦੇ ਹਨ ਕਿ ਹਮਲਾਵਰ ਪੀੜਤਾਂ ਦੇ ਨੈਟਵਰਕ ਦੇ ਅੰਦਰ ਇੱਕ ਨੈਟਵਰਕ ਇਮਪਲਾਂਟ ਤਾਇਨਾਤ ਕਰ ਰਹੇ ਹਨ, ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਰਾਊਟਰ ਜਾਂ ਗੇਟਵੇ ਵਰਗੇ ਕਮਜ਼ੋਰ ਨੈਟਵਰਕ ਉਪਕਰਣਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾ ਰਹੇ ਹਨ।
NSPX30 ਸਪਾਈਵੇਅਰ C2 ਕਮਾਂਡਾਂ ਦੇ ਆਧਾਰ 'ਤੇ ਖਾਸ ਕਾਰਵਾਈਆਂ ਕਰ ਸਕਦਾ ਹੈ
ਆਰਕੈਸਟਰੇਟਰ ਦੋ ਥਰਿੱਡਾਂ ਦੀ ਸਿਰਜਣਾ ਸ਼ੁਰੂ ਕਰਦਾ ਹੈ: ਇੱਕ ਬੈਕਡੋਰ ('msfmtkl.dat') ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਸਮਰਪਿਤ ਹੈ ਅਤੇ ਦੂਜਾ ਇਸਦੇ ਪਲੱਗਇਨ ਨੂੰ ਲੋਡ ਕਰਨ ਅਤੇ ਲੋਡਰ DLLs ਦੁਆਰਾ ਚੀਨੀ ਐਂਟੀ-ਮਾਲਵੇਅਰ ਹੱਲਾਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਣ ਲਈ ਅਲਹਿਦਗੀ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨ 'ਤੇ ਕੇਂਦ੍ਰਿਤ ਹੈ।
ਬੈਕਡੋਰ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ, Baidu ਦੀ ਮਲਕੀਅਤ ਵਾਲਾ ਜਾਇਜ਼ ਚੀਨੀ ਖੋਜ ਇੰਜਣ, www.baidu[.]com ਨੂੰ ਇੱਕ HTTP ਬੇਨਤੀ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਬੇਨਤੀ ਵਿੱਚ ਇੱਕ ਗੈਰ-ਰਵਾਇਤੀ ਉਪਭੋਗਤਾ-ਏਜੰਟ ਸਤਰ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਗਈ ਹੈ, ਜੋ ਕਿ ਵਿੰਡੋਜ਼ 98 'ਤੇ ਇੰਟਰਨੈਟ ਐਕਸਪਲੋਰਰ ਦੀ ਨਕਲ ਕਰਦੀ ਹੈ ਤਾਂ ਜੋ ਇਸਦੇ ਮੂਲ ਨੂੰ ਲੁਕਾਇਆ ਜਾ ਸਕੇ। ਸਰਵਰ ਦਾ ਜਵਾਬ ਇੱਕ ਫਾਈਲ ਵਿੱਚ ਸੁਰੱਖਿਅਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਅਤੇ ਬੈਕਡੋਰ ਕੰਪੋਨੈਂਟ ਨੂੰ ਫਿਰ ਐਕਸਟਰੈਕਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਅਤੇ ਸਿਸਟਮ ਦੀ ਮੈਮੋਰੀ ਵਿੱਚ ਲੋਡ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।
ਇਸਦੀ ਸ਼ੁਰੂਆਤੀ ਪ੍ਰਕਿਰਿਆ ਦੇ ਹਿੱਸੇ ਵਜੋਂ, NSPX30 ਇੱਕ ਪੈਸਿਵ UDP ਲਿਸਨਿੰਗ ਸਾਕਟ ਸਥਾਪਤ ਕਰਦਾ ਹੈ ਜੋ ਕੰਟਰੋਲਰ ਤੋਂ ਕਮਾਂਡਾਂ ਪ੍ਰਾਪਤ ਕਰਨ ਅਤੇ ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਦੀ ਸਹੂਲਤ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਸ ਵਿੱਚ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਇਸਦੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨੂੰ ਅਗਿਆਤ ਕਰਨ ਲਈ DNS ਪੁੱਛਗਿੱਛ ਪੈਕੇਟਾਂ ਨੂੰ ਰੋਕਿਆ ਜਾਣਾ ਸ਼ਾਮਲ ਹੈ।
ਬੈਕਡੋਰ ਨੂੰ ਪ੍ਰਦਾਨ ਕੀਤੀਆਂ ਗਈਆਂ ਹਦਾਇਤਾਂ ਵੱਖ-ਵੱਖ ਕਾਰਜਸ਼ੀਲਤਾਵਾਂ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦੀਆਂ ਹਨ, ਜਿਸ ਵਿੱਚ ਇੱਕ ਰਿਵਰਸ ਸ਼ੈੱਲ ਬਣਾਉਣਾ, ਫਾਈਲ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨਾ, ਖਾਸ ਪ੍ਰਕਿਰਿਆਵਾਂ ਨੂੰ ਖਤਮ ਕਰਨਾ, ਸਕ੍ਰੀਨਸ਼ੌਟਸ ਕੈਪਚਰ ਕਰਨਾ, ਕੀਸਟ੍ਰੋਕ ਲਾਗ ਕਰਨਾ, ਅਤੇ ਇੱਥੋਂ ਤੱਕ ਕਿ ਸੰਕਰਮਿਤ ਮਸ਼ੀਨ ਤੋਂ ਆਪਣੇ ਆਪ ਨੂੰ ਅਣਇੰਸਟੌਲ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ।
