NSPX30 Spyware
Un actor de amenințare neidentificat asociat cu China a apărut, angajându-se în mai multe atacuri Adversary-in-the-Middle (AitM). Aceste atacuri implică deturnarea solicitărilor de actualizare din software-ul legitim cu intenția de a livra un implant sofisticat cunoscut sub numele de NSPX30. Cercetătorii monitorizează acest grup de amenințări persistente avansate (APT), identificându-l drept „Blackwood”. Descoperirile sugerează că acest grup de criminalitate cibernetică este operațional din 2018.
Implantul NSPX30 a fost detectat în cazurile în care a fost implementat prin mecanismele de actualizare ale software-ului binecunoscut, inclusiv Tencent QQ, WPS Office și Sogou Pinyin. Țintele acestor atacuri sunt companiile implicate în producție, comerț și inginerie din China și Japonia. În plus, persoane din China, Japonia și Marea Britanie au fost, de asemenea, afectate de aceste atacuri AitM.
Cuprins
Spyware-ul NSPX30 este o amenințare cu mai multe componente
NSPX30 reprezintă un implant sofisticat în mai multe etape, care cuprinde diverse componente, inclusiv un dropper, instalator, încărcătoare, orchestrator și o ușă din spate. Ușa din spate și orchestratorul posedă fiecare seturi distincte de plugin-uri. Arhitectura implantului a fost proiectată strategic pentru a valorifica capabilitățile de interceptare a pachetelor, permițând operatorilor NSPX30 să-și ascundă infrastructura în mod eficient.
Originile ușii din spate, care are capacitatea suplimentară de a ocoli mai multe soluții anti-malware chinezești prin auto-autorizare listă, pot fi urmărite până la un malware anterior cunoscut sub numele de Project Wood, introdus în ianuarie 2005. Project Wood a fost creat pentru a aduna sistemul. și informații de rețea, capturați apăsările de taste și faceți capturi de ecran ale sistemelor victimelor.
Baza de cod a Proiectului Wood a servit drept bază pentru diferite implanturi, dând naștere unor derivate precum DCM (cunoscut și ca Dark Spectre) în 2008. Ulterior, acest malware a fost folosit în atacuri direcționate împotriva persoanelor de interes din Hong Kong și Marea Britanie. Zona Chinei atât în 2012, cât și în 2014.
Lanț de atac pentru implementarea programului spyware NSPX30
NSPX30 este introdus prin compromisul sistemelor care încearcă să descarce actualizări software prin protocolul HTTP (necriptat) de pe servere legitime. Acest compromis facilitează implementarea unui fișier DLL dropper.
Dropperul dăunător, inițiat în timpul procesului de actualizare compromis, generează mai multe fișiere pe disc și inițiază execuția „RsStub.exe”, un binar asociat cu software-ul antivirus. Acest pas exploatează vulnerabilitatea celui dintâi la încărcarea secundară a DLL, permițând lansarea „comx3.dll”.
Ulterior, „comx3.dll” servește ca încărcător, executând un al treilea fișier numit „comx3.dll.txt”. Acest fișier funcționează ca o bibliotecă de instalare, declanșând următoarea etapă a lanțului de atac, ducând în cele din urmă la execuția componentei orchestrator („WIN.cfg”).
Metoda specifică prin care actorii amenințărilor livrează dropperul sub formă de actualizări false rămâne necunoscută. Cu toate acestea, modelele istorice indică faptul că actorii de amenințări chinezi, cum ar fi BlackTech , Evasive Panda, Judgment Panda și Mustang Panda, au folosit routere compromise ca canal de distribuție pentru malware. Cercetătorii sugerează posibilitatea ca atacatorii să implementeze un implant de rețea în rețelele victimelor, potențial țintind dispozitive de rețea vulnerabile, cum ar fi routere sau gateway-uri.
Spyware-ul NSPX30 poate efectua acțiuni specifice pe baza comenzilor C2
Orchestratorul inițiază crearea a două fire de execuție: unul dedicat achiziționării backdoor-ului ('msfmtkl.dat') și celălalt concentrat pe încărcarea pluginurilor sale și încorporarea excluderilor pentru a permite ocolirea soluțiilor anti-malware chinezești de către DLL-urile de încărcare.
Pentru a descărca backdoor, se face o solicitare HTTP către www.baidu[.]com, motorul de căutare legitim chinez deținut de Baidu. Solicitarea folosește un șir User-Agent neconvențional, imitând Internet Explorer pe Windows 98 pentru a-i ascunde originea. Răspunsul serverului este salvat într-un fișier, iar componenta backdoor este apoi extrasă și încărcată în memoria sistemului.
Ca parte a procesului său de inițializare, NSPX30 stabilește un soclu de ascultare UDP pasiv conceput pentru a primi comenzi de la controlor și pentru a facilita exfiltrarea datelor. Acest lucru implică probabil interceptarea pachetelor de interogări DNS pentru a anonimiza infrastructura sa de comandă și control (C2).
Instrucțiunile furnizate ușii din spate permit diverse funcționalități, inclusiv crearea unui shell invers, colectarea de informații despre fișiere, terminarea unor procese specifice, capturarea de capturi de ecran, înregistrarea apăsărilor de taste și chiar dezinstalarea de pe mașina infectată.
