NSPX30 Шпионское ПО
Появился неопознанный субъект угрозы, связанный с Китаем, который участвовал в нескольких атаках «Противник посередине» (AitM). Эти атаки включают перехват запросов на обновление легального программного обеспечения с целью доставки сложного имплантата, известного как NSPX30. Исследователи отслеживают эту группу продвинутых постоянных угроз (APT), идентифицируя ее как «Blackwood». Результаты показывают, что эта группа киберпреступников действует как минимум с 2018 года.
Имплантат NSPX30 был обнаружен в тех случаях, когда он был развернут с помощью механизмов обновления известного программного обеспечения, включая Tencent QQ, WPS Office и Sogou Pinyin. Целью этих атак являются компании, занимающиеся производством, торговлей и инжинирингом в Китае и Японии. Кроме того, от этих атак AitM также пострадали люди в Китае, Японии и Великобритании.
Оглавление
Шпионское ПО NSPX30 представляет собой многокомпонентную угрозу
NSPX30 представляет собой сложный многоэтапный имплантат, состоящий из различных компонентов, включая дроппер, установщик, загрузчики, оркестратор и бэкдор. Бэкдор и оркестратор имеют разные наборы плагинов. Архитектура имплантата была стратегически разработана для использования возможностей перехвата пакетов, что позволяет операторам NSPX30 эффективно скрывать свою инфраструктуру.
Истоки бэкдора, который имеет дополнительную возможность обойти несколько китайских решений по борьбе с вредоносным ПО посредством саморазрешения, можно проследить до более раннего вредоносного ПО, известного как Project Wood, представленного в январе 2005 года. Project Wood был создан для сбора информации о системе. и сетевую информацию, фиксировать нажатия клавиш и делать снимки экрана систем-жертв.
Кодовая база Project Wood послужила основой для различных имплантатов, что привело к появлению таких производных, как DCM (также известный как Dark Spectre) в 2008 году. Впоследствии это вредоносное ПО использовалось в целевых атаках на представляющих интерес лиц в Гонконге и Большом регионе. Площадь Китая в 2012 и 2014 годах.
Цепочка атак для развертывания шпионского ПО NSPX30
NSPX30 появляется в результате компрометации систем, пытающихся загрузить обновления программного обеспечения по (незашифрованному) протоколу HTTP с законных серверов. Этот компромисс облегчает развертывание DLL-файла-дроппера.
Вредоносный дроппер, запускаемый во время взломанного процесса обновления, создает на диске несколько файлов и инициирует выполнение RsStub.exe — двоичного файла, связанного с антивирусным программным обеспечением. На этом этапе используется уязвимость первого к боковой загрузке DLL, что позволяет запустить comx3.dll.
Впоследствии «comx3.dll» выступает в качестве загрузчика, выполняя третий файл с именем «comx3.dll.txt». Этот файл действует как библиотека установщика, запуская следующий этап цепочки атак, который в конечном итоге приводит к выполнению компонента оркестратора («WIN.cfg»).
Конкретный метод, с помощью которого злоумышленники доставляют дроппер в виде фиктивных обновлений, остается неизвестным. Однако исторические закономерности показывают, что китайские злоумышленники, такие как BlackTech , Evasive Panda, Judgment Panda и Mustang Panda, использовали взломанные маршрутизаторы в качестве канала распространения вредоносного ПО. Исследователи предполагают возможность того, что злоумышленники развертывают сетевой имплант в сетях жертв, потенциально нацеленный на уязвимые сетевые устройства, такие как маршрутизаторы или шлюзы.
Шпионское ПО NSPX30 может выполнять определенные действия на основе команд C2.
Оркестратор инициирует создание двух потоков: один посвящен получению бэкдора (msfmtkl.dat), а другой ориентирован на загрузку его плагинов и включение исключений, позволяющих обойти китайские антивирусные решения с помощью DLL-загрузчика.
Для загрузки бэкдора выполняется HTTP-запрос к www.baidu[.]com, законной китайской поисковой системе, принадлежащей Baidu. В запросе используется нетрадиционная строка User-Agent, имитирующая Internet Explorer в Windows 98, чтобы скрыть свое происхождение. Ответ сервера сохраняется в файл, а затем компонент бэкдора извлекается и загружается в память системы.
В рамках процесса инициализации NSPX30 устанавливает пассивный сокет прослушивания UDP, предназначенный для получения команд от контроллера и облегчения утечки данных. Вероятно, это предполагает перехват пакетов DNS-запросов для анонимизации инфраструктуры управления и контроля (C2).
Инструкции, предоставленные бэкдору, позволяют выполнять различные функции, в том числе создавать обратную оболочку, собирать информацию о файлах, завершать определенные процессы, делать снимки экрана, регистрировать нажатия клавиш и даже удалять себя с зараженного компьютера.
