NSPX30 Spyware
Një aktor kërcënimi i paidentifikuar i lidhur me Kinën është shfaqur, i përfshirë në disa sulme kundër kundërshtarit në mes (AitM). Këto sulme përfshijnë rrëmbimin e kërkesave të përditësimit nga softueri legjitim me qëllimin për të ofruar një implant të sofistikuar të njohur si NSPX30. Studiuesit po monitorojnë këtë grup të avancuar të kërcënimit të vazhdueshëm (APT), duke e identifikuar atë si 'Blackwood'. Gjetjet sugjerojnë se ky grup i krimit kibernetik ka funksionuar të paktën që nga viti 2018.
Implanti NSPX30 është zbuluar në raste kur është vendosur përmes mekanizmave të përditësimit të softuerit të mirënjohur, duke përfshirë Tencent QQ, WPS Office dhe Sogou Pinyin. Objektivat e këtyre sulmeve janë kompanitë e përfshira në prodhim, tregti dhe inxhinieri në Kinë dhe Japoni. Për më tepër, individë në Kinë, Japoni dhe MB janë prekur gjithashtu nga këto sulme AitM.
Tabela e Përmbajtjes
Spyware NSPX30 është një kërcënim me shumë komponentë
NSPX30 përfaqëson një implant të sofistikuar me shumë faza që përbëhet nga komponentë të ndryshëm, duke përfshirë një pikatore, instalues, ngarkues, orkestrues dhe një derë të pasme. Backdoor dhe orkestratori zotërojnë secila grupe të veçanta shtojcash. Arkitektura e implantit ishte projektuar në mënyrë strategjike për të shfrytëzuar aftësitë e përgjimit të paketave, duke i lejuar operatorët NSPX30 të fshehin infrastrukturën e tyre në mënyrë efektive.
Origjina e backdoor, e cila ka aftësinë shtesë për të anashkaluar disa zgjidhje kineze kundër malware përmes listimit të vetë-lejimit, mund të gjurmohet në një malware të mëparshëm të njohur si Project Wood, i prezantuar në janar 2005. Project Wood u krijua për të mbledhur sistemin dhe informacionin e rrjetit, kapni goditjet e tasteve dhe merrni pamje nga ekranet e sistemeve të viktimave.
Baza e kodit të Project Wood ka shërbyer si bazë për implante të ndryshme, duke krijuar derivate të tillë si DCM (i njohur gjithashtu si Dark Spectre) në vitin 2008. Më pas, ky malware u përdor në sulme të synuara kundër individëve me interes në Hong Kong dhe më të madh Zona e Kinës në 2012 dhe 2014.
Zinxhiri i sulmit për vendosjen e Spyware-it NSPX30
NSPX30 prezantohet përmes kompromisit të sistemeve që përpiqen të shkarkojnë përditësime të softuerit nëpërmjet protokollit HTTP (të pakriptuar) nga serverët legjitimë. Ky kompromis lehtëson vendosjen e një skedari DLL dropper.
Pika e dëmshme, e inicuar gjatë procesit të komprometuar të përditësimit, gjeneron skedarë të shumtë në disk dhe fillon ekzekutimin e 'RsStub.exe', një binar i lidhur me softuerin antivirus. Ky hap shfrytëzon cenueshmërinë e të parës ndaj ngarkimit anësor DLL, duke mundësuar lëshimin e 'comx3.dll'.
Më pas, 'comx3.dll' shërben si një ngarkues, duke ekzekutuar një skedar të tretë të quajtur 'comx3.dll.txt.' Ky skedar funksionon si një bibliotekë instaluesi, duke shkaktuar fazën tjetër të zinxhirit të sulmit, duke çuar përfundimisht në ekzekutimin e komponentit të orkestruesit ('WIN.cfg').
Metoda specifike me të cilën aktorët e kërcënimit dorëzojnë pikatoren në formën e përditësimeve false mbetet e panjohur. Megjithatë, modelet historike tregojnë se aktorët kinezë të kërcënimit, si BlackTech , Evasive Panda, Judgment Panda dhe Mustang Panda, kanë përdorur ruterat e komprometuar si një kanal shpërndarjeje për malware. Studiuesit sugjerojnë mundësinë që sulmuesit po vendosin një implant rrjeti brenda rrjeteve të viktimave, duke synuar potencialisht pajisjet e rrezikuara të rrjetit si ruterat ose portat.
Spyware NSPX30 mund të kryejë veprime specifike bazuar në komandat C2
Orkestratori nis krijimin e dy temave: njëra e dedikuar për marrjen e derës së pasme ('msfmtkl.dat') dhe tjetra e fokusuar në ngarkimin e shtojcave të tij dhe përfshirjen e përjashtimeve për të mundësuar anashkalimin e zgjidhjeve kineze kundër malware nga DLL-të e ngarkuesit.
Për të shkarkuar backdoor, një kërkesë HTTP i bëhet www.baidu[.]com, motori legjitim i kërkimit kinez në pronësi të Baidu. Kërkesa përdor një varg jokonvencional të Agjentit të Përdoruesit, duke imituar Internet Explorer në Windows 98 për të fshehur origjinën e tij. Përgjigja e serverit ruhet në një skedar, dhe komponenti i derës së pasme më pas nxirret dhe ngarkohet në memorien e sistemit.
Si pjesë e procesit të tij të inicializimit, NSPX30 krijon një prizë dëgjimi pasive UDP të krijuar për të marrë komanda nga kontrolluesi dhe për të lehtësuar ekfiltrimin e të dhënave. Kjo përfshin kapjen e mundshme të paketave të pyetjeve DNS për të anonimizuar infrastrukturën e saj Command-and-Control (C2).
Udhëzimet e dhëna në backdoor mundësojnë funksione të ndryshme, duke përfshirë krijimin e një guaskë të kundërt, mbledhjen e informacionit të skedarit, përfundimin e proceseve specifike, regjistrimin e pamjeve të ekranit, regjistrimin e shtypjeve të tastave dhe madje edhe çinstalimin nga makina e infektuar.
