Oprogramowanie szpiegowskie NSPX30
Pojawił się niezidentyfikowany podmiot zagrażający powiązany z Chinami, który przeprowadził kilka ataków typu adversary-in-the-middle (AitM). Ataki te obejmują przejmowanie żądań aktualizacji z legalnego oprogramowania w celu dostarczenia wyrafinowanego implantu znanego jako NSPX30. Naukowcy monitorują tę grupę zaawansowanych trwałych zagrożeń (APT), identyfikując ją jako „Blackwood”. Z ustaleń wynika, że ta grupa cyberprzestępcza działa co najmniej od 2018 r.
Implant NSPX30 został wykryty w przypadkach, gdy został wdrożony poprzez mechanizmy aktualizacji dobrze znanego oprogramowania, w tym Tencent QQ, WPS Office i Sogou Pinyin. Celem tych ataków są firmy zajmujące się produkcją, handlem i inżynierią w Chinach i Japonii. Ponadto ataki AitM dotknęły także osoby w Chinach, Japonii i Wielkiej Brytanii.
Spis treści
Oprogramowanie szpiegowskie NSPX30 to zagrożenie wieloskładnikowe
NSPX30 to wyrafinowany wieloetapowy implant składający się z różnych komponentów, w tym zakraplacza, instalatora, programów ładujących, koordynatora i tylnego wejścia. Backdoor i Orchestrator posiadają różne zestawy wtyczek. Architektura implantu została strategicznie zaprojektowana tak, aby wykorzystać możliwości przechwytywania pakietów, umożliwiając operatorom NSPX30 skuteczne ukrywanie swojej infrastruktury.
Początki backdoora, który ma dodatkową możliwość obchodzenia kilku chińskich rozwiązań chroniących przed złośliwym oprogramowaniem poprzez umieszczanie na liście dozwolonych plików, można prześledzić wstecz do wcześniejszego szkodliwego oprogramowania znanego jako Project Wood, wprowadzonego w styczniu 2005 roku. Project Wood został stworzony w celu gromadzenia danych systemowych i informacje o sieci, przechwytuj naciśnięcia klawiszy i rób zrzuty ekranu systemów ofiar.
Baza kodowa projektu Wood posłużyła jako podstawa dla różnych implantów, co dało początek pochodnym, takim jak DCM (znany również jako Dark Spectre) w 2008 roku. Następnie to złośliwe oprogramowanie zostało wykorzystane w atakach ukierunkowanych na zainteresowane osoby w Hongkongu i Wielkiej Brytanii Obszar Chin w latach 2012 i 2014.
Łańcuch ataków w celu wdrożenia oprogramowania szpiegującego NSPX30
NSPX30 jest wprowadzany w wyniku włamania się do systemów próbujących pobrać aktualizacje oprogramowania za pośrednictwem (nieszyfrowanego) protokołu HTTP z legalnych serwerów. Ten kompromis ułatwia wdrożenie pliku DLL droppera.
Szkodliwy dropper inicjowany podczas zaatakowanego procesu aktualizacji generuje wiele plików na dysku i inicjuje wykonanie pliku binarnego „RsStub.exe” powiązanego z oprogramowaniem antywirusowym. Ten krok wykorzystuje podatność pierwszego na boczne ładowanie bibliotek DLL, umożliwiając uruchomienie pliku „comx3.dll”.
Następnie „comx3.dll” służy jako moduł ładujący, wykonując trzeci plik o nazwie „comx3.dll.txt”. Plik ten pełni funkcję biblioteki instalacyjnej, uruchamiając kolejny etap łańcucha ataków, ostatecznie prowadzący do wykonania komponentu programu Orchestrator („WIN.cfg”).
Konkretna metoda, za pomocą której cyberprzestępcy dostarczają dropper w postaci fałszywych aktualizacji, pozostaje nieznana. Jednak wzorce historyczne wskazują, że chińscy ugrupowania zagrażające, takie jak BlackTech , Evasive Panda, Judgement Panda i Mustang Panda, wykorzystywały zhakowane routery jako kanał dystrybucji złośliwego oprogramowania. Badacze sugerują, że napastnicy wdrażają implant sieciowy w sieciach ofiar, potencjalnie atakując podatne na ataki urządzenia sieciowe, takie jak routery lub bramy.
Oprogramowanie szpiegowskie NSPX30 może wykonywać określone działania w oparciu o polecenia C2
Koordynator inicjuje utworzenie dwóch wątków: jednego poświęconego pozyskaniu backdoora („msfmtkl.dat”) i drugiego skupiającego się na ładowaniu jego wtyczek i włączaniu wyjątków, aby umożliwić ominięcie chińskich rozwiązań chroniących przed złośliwym oprogramowaniem przez biblioteki DLL modułu ładującego.
Aby pobrać backdoora, wysyłane jest żądanie HTTP do www.baidu[.]com, legalnej chińskiej wyszukiwarki należącej do Baidu. Żądanie wykorzystuje niekonwencjonalny ciąg User-Agent, naśladujący przeglądarkę Internet Explorer w systemie Windows 98, aby ukryć swoje pochodzenie. Odpowiedź serwera jest zapisywana w pliku, a następnie komponent backdoora jest wyodrębniany i ładowany do pamięci systemu.
W ramach procesu inicjalizacji NSPX30 ustanawia pasywne gniazdo nasłuchowe UDP przeznaczone do odbierania poleceń ze sterownika i ułatwiania eksfiltracji danych. Wiąże się to prawdopodobnie z przechwytywaniem pakietów zapytań DNS w celu anonimizacji infrastruktury dowodzenia i kontroli (C2).
Instrukcje dostarczane backdoorowi umożliwiają różne funkcje, w tym utworzenie odwrotnej powłoki, zbieranie informacji o plikach, kończenie określonych procesów, przechwytywanie zrzutów ekranu, rejestrowanie naciśnięć klawiszy, a nawet odinstalowywanie się z zainfekowanej maszyny.
