Spyware NSPX30
Objavil sa neidentifikovaný aktér hrozby spojený s Čínou, ktorý sa podieľal na niekoľkých útokoch typu Adversary-in-the-Middle (AitM). Tieto útoky zahŕňajú únos žiadostí o aktualizáciu z legitímneho softvéru s úmyslom dodať sofistikovaný implantát známy ako NSPX30. Výskumníci sledujú túto skupinu pokročilých perzistentných hrozieb (APT) a identifikujú ju ako „Blackwood“. Zistenia naznačujú, že táto skupina pre počítačovú kriminalitu funguje minimálne od roku 2018.
Implantát NSPX30 bol zistený v prípadoch, keď bol nasadený prostredníctvom aktualizačných mechanizmov známeho softvéru, vrátane Tencent QQ, WPS Office a Sogou Pinyin. Cieľom týchto útokov sú spoločnosti zaoberajúce sa výrobou, obchodovaním a strojárstvom v Číne a Japonsku. Okrem toho boli týmito útokmi AitM zasiahnutí aj jednotlivci v Číne, Japonsku a Spojenom kráľovstve.
Obsah
Spyware NSPX30 je viaczložková hrozba
NSPX30 predstavuje sofistikovaný viacstupňový implantát pozostávajúci z rôznych komponentov vrátane kvapkadla, inštalátora, nakladačov, orchestrátora a zadných dvierok. Zadné vrátka a orchestrátor majú odlišné sady doplnkov. Architektúra implantátu bola strategicky navrhnutá tak, aby využívala možnosti zachytávania paketov, čo operátorom NSPX30 umožňuje efektívne skryť svoju infraštruktúru.
Počiatky backdoor, ktorý má dodatočnú schopnosť obísť niekoľko čínskych anti-malvérových riešení prostredníctvom self-allow výpisu, možno vystopovať späť k skoršiemu malvéru známemu ako Project Wood, ktorý bol predstavený v januári 2005. Project Wood bol vytvorený na zhromažďovanie systému a sieťové informácie, zachytávať stlačenia klávesov a robiť snímky obrazoviek systémov obetí.
Kódová základňa Project Wood slúžila ako základ pre rôzne implantáty, z ktorých v roku 2008 vznikli deriváty ako DCM (tiež známy ako Dark Spectre). Následne bol tento malvér použitý pri cielených útokoch proti jednotlivcom, ktorí sú predmetom záujmu v Hongkongu a vo Veľkom regióne. oblasť Číny v rokoch 2012 a 2014.
Útočný reťazec pre nasadenie spywaru NSPX30
NSPX30 je predstavený kompromitáciou systémov, ktoré sa pokúšajú stiahnuť aktualizácie softvéru prostredníctvom (nešifrovaného) protokolu HTTP z legitímnych serverov. Tento kompromis uľahčuje nasadenie súboru DLL typu dropper.
Škodlivé kvapkadlo spustené počas napadnutého procesu aktualizácie vygeneruje na disku viacero súborov a spustí spustenie „RsStub.exe“, binárneho súboru spojeného s antivírusovým softvérom. Tento krok využíva zraniteľnosť prvého z nich na bočné načítanie DLL, čo umožňuje spustenie súboru 'comx3.dll.
Následne „comx3.dll“ slúži ako zavádzač, ktorý spustí tretí súbor s názvom „comx3.dll.txt“. Tento súbor funguje ako inštalačná knižnica, ktorá spúšťa ďalšiu fázu reťaze útokov, čo nakoniec vedie k spusteniu komponentu orchestrátora ('WIN.cfg').
Špecifická metóda, ktorou aktéri hrozby doručujú kvapkadlo vo forme falošných aktualizácií, zostáva neznáma. Historické vzorce však naznačujú, že čínski aktéri hrozieb, ako napríklad BlackTech , Evasive Panda, Judgment Panda a Mustang Panda, využili napadnuté smerovače ako distribučný kanál pre malvér. Výskumníci naznačujú možnosť, že útočníci nasadzujú sieťový implantát v sieťach obetí, potenciálne sa zameriavajú na zraniteľné sieťové zariadenia, ako sú smerovače alebo brány.
Spyware NSPX30 môže vykonávať špecifické akcie na základe príkazov C2
Orchestrator iniciuje vytvorenie dvoch vlákien: jedno je určené na získanie backdoor ('msfmtkl.dat') a druhé sa zameriava na načítanie jeho zásuvných modulov a začlenenie výnimiek, ktoré umožnia obídenie čínskych antimalvérových riešení pomocou DLL zavádzača.
Na stiahnutie backdoor sa odošle požiadavka HTTP na www.baidu[.]com, legitímny čínsky vyhľadávací nástroj, ktorý vlastní Baidu. Požiadavka využíva nekonvenčný reťazec User-Agent, ktorý napodobňuje Internet Explorer v systéme Windows 98, aby zamaskoval svoj pôvod. Odpoveď servera sa uloží do súboru a komponent backdoor sa potom extrahuje a nahrá do pamäte systému.
Ako súčasť procesu inicializácie NSPX30 vytvára pasívnu zásuvku na počúvanie UDP navrhnutú na prijímanie príkazov z radiča a uľahčenie exfiltrácie údajov. Zahŕňa to pravdepodobne zachytenie paketov dotazov DNS s cieľom anonymizovať jeho infraštruktúru Command-and-Control (C2).
Pokyny poskytované zadným vrátkam umožňujú rôzne funkcie vrátane vytvorenia spätného shellu, zhromažďovania informácií o súboroch, ukončenia špecifických procesov, zachytávania snímok obrazovky, zaznamenávania stlačenia klávesov a dokonca aj odinštalovania z infikovaného počítača.
