Vohunska programska oprema NSPX30
Pojavil se je neidentificirani akter grožnje, povezan s Kitajsko, ki je sodeloval v več napadih Nasprotnik v sredini (AitM). Ti napadi vključujejo ugrabitev zahtev za posodobitev zakonite programske opreme z namenom dobave sofisticiranega vsadka, znanega kot NSPX30. Raziskovalci spremljajo to skupino naprednih trajnih groženj (APT) in jo identificirajo kot "Blackwood". Ugotovitve kažejo, da ta kibernetska kriminalna skupina deluje vsaj od leta 2018.
Vsadek NSPX30 je bil odkrit v primerih, ko je bil nameščen prek mehanizmov za posodobitev dobro znane programske opreme, vključno s Tencent QQ, WPS Office in Sogou Pinyin. Tarče teh napadov so podjetja, ki se ukvarjajo s proizvodnjo, trgovino in inženiringom na Kitajskem in Japonskem. Poleg tega so ti napadi AitM prizadeli tudi posameznike na Kitajskem, Japonskem in v Združenem kraljestvu.
Kazalo
Vohunska programska oprema NSPX30 je večkomponentna grožnja
NSPX30 predstavlja sofisticiran večstopenjski vsadek, ki obsega različne komponente, vključno s kapalko, namestitvijo, nalagalniki, orkestratorjem in zadnjimi vrati. Zakulisna vrata in orkestrator imata vsak svoj nabor vtičnikov. Arhitektura vsadka je bila strateško zasnovana za izkoriščanje zmogljivosti prestrezanja paketov, kar omogoča operaterjem NSPX30, da učinkovito prikrijejo svojo infrastrukturo.
Izvor backdoorja, ki ima dodatno zmožnost izogibanja številnim kitajskim rešitvam proti zlonamerni programski opremi prek samodovoljevanja na seznamu, je mogoče izslediti nazaj do prejšnje zlonamerne programske opreme, znane kot Project Wood, ki je bila predstavljena januarja 2005. Project Wood je bil oblikovan za sistem zbiranja in omrežne informacije, zajemanje pritiskov na tipke in snemanje posnetkov zaslona žrtev sistemov.
Kodna baza Project Wood je služila kot podlaga za različne vsadke, kar je leta 2008 povzročilo izpeljanke, kot je DCM (znan tudi kot Dark Spectre). Kasneje je bila ta zlonamerna programska oprema uporabljena v ciljno usmerjenih napadih na posameznike v Hongkongu in širše. Kitajskem v letih 2012 in 2014.
Veriga napadov za uvedbo vohunske programske opreme NSPX30
NSPX30 je uveden s kompromisom sistemov, ki poskušajo prenesti posodobitve programske opreme prek (nešifriranega) protokola HTTP z zakonitih strežnikov. Ta kompromis olajša uvedbo datoteke DLL s kapalko.
Škodljiv dropper, ki se sproži med ogroženim postopkom posodabljanja, ustvari več datotek na disku in sproži izvajanje »RsStub.exe«, dvojiške datoteke, povezane s protivirusno programsko opremo. Ta korak izkorišča ranljivost prvega za stransko nalaganje DLL, kar omogoča zagon »comx3.dll«.
Nato 'comx3.dll' služi kot nalagalnik, ki izvaja tretjo datoteko z imenom 'comx3.dll.txt.' Ta datoteka deluje kot knjižnica namestitvenega programa, ki sproži naslednjo stopnjo verige napadov, ki na koncu vodi do izvedbe komponente orkestratorja ('WIN.cfg').
Posebna metoda, s katero akterji groženj dostavijo dropper v obliki lažnih posodobitev, ostaja neznana. Vendar zgodovinski vzorci kažejo, da so kitajski akterji groženj, kot so BlackTech , Evasive Panda, Judgement Panda in Mustang Panda, uporabljali ogrožene usmerjevalnike kot distribucijski kanal za zlonamerno programsko opremo. Raziskovalci nakazujejo možnost, da napadalci nameščajo omrežni vsadek znotraj omrežij žrtev, s čimer potencialno ciljajo na ranljive omrežne naprave, kot so usmerjevalniki ali prehodi.
Vohunska programska oprema NSPX30 lahko izvaja posebna dejanja na podlagi ukazov C2
Orkestrator sproži ustvarjanje dveh niti: ena je namenjena pridobivanju stranskih vrat ('msfmtkl.dat'), druga pa je osredotočena na nalaganje njegovih vtičnikov in vključitev izključitev, ki omogočajo obhod kitajskih rešitev proti zlonamerni programski opremi s strani nalagalnih DLL-jev.
Za prenos backdoorja se pošlje zahteva HTTP na www.baidu[.]com, legitimen kitajski iskalnik v lasti Baiduja. Zahteva uporablja nekonvencionalen niz User-Agent, ki posnema Internet Explorer v sistemu Windows 98, da prikrije svoj izvor. Odgovor strežnika se shrani v datoteko, stranska komponenta pa se ekstrahira in naloži v pomnilnik sistema.
Kot del inicializacijskega procesa NSPX30 vzpostavi pasivno poslušajočo vtičnico UDP, ki je zasnovana za sprejemanje ukazov iz krmilnika in omogočanje izločanja podatkov. To vključuje verjetno prestrezanje paketov poizvedb DNS za anonimiziranje njegove infrastrukture ukazov in nadzora (C2).
Navodila za zadnja vrata omogočajo različne funkcije, vključno z ustvarjanjem povratne lupine, zbiranjem informacij o datotekah, zaključkom določenih procesov, zajemanjem posnetkov zaslona, beleženjem pritiskov tipk in celo odstranitvijo samega sebe iz okuženega računalnika.
