НСПКС30 шпијунски софтвер
Појавио се неидентификовани актер претње повезан са Кином, који је учествовао у неколико напада противник у средини (АитМ). Ови напади укључују отмицу захтева за ажурирање од легитимног софтвера са намером да се испоручи софистицирани имплант познат као НСПКС30. Истраживачи прате ову групу напредних персистентних претњи (АПТ), идентификујући је као „Блеквуд“. Налази сугеришу да је ова група за сајбер криминал оперативна од најмање 2018.
Имплантат НСПКС30 је откривен у случајевима када је распоређен кроз механизме ажурирања добро познатог софтвера, укључујући Тенцент КК, ВПС Оффице и Согоу Пиниин. Мете ових напада су компаније које се баве производњом, трговином и инжењерингом у Кини и Јапану. Поред тога, појединци у Кини, Јапану и Великој Британији такође су погођени овим АитМ нападима.
Преглед садржаја
НСПКС30 шпијунски софтвер је вишекомпонентна претња
НСПКС30 представља софистицирани вишестепени имплант који се састоји од различитих компоненти, укључујући капалицу, инсталатер, пуњач, оркестратор и бацкдоор. Сваки бацкдоор и оркестратор поседују различите скупове додатака. Архитектура имплантата је стратешки дизајнирана да искористи могућности пресретања пакета, омогућавајући НСПКС30 оператерима да ефикасно сакрију своју инфраструктуру.
Порекло бацкдоор-а, који има додатну могућност заобилажења неколико кинеских решења против малвера путем самодозвољеног листинга, може се пратити до ранијег малвера познатог као Пројецт Воод, представљеног у јануару 2005. Пројецт Воод је направљен да прикупи систем и мрежне информације, снимајте притиске на тастере и правите снимке екрана система жртава.
База кода Пројецт Воода послужила је као основа за разне импланте, што је довело до деривата као што је ДЦМ (такође познат као Дарк Спецтре) 2008. Након тога, овај малвер је коришћен у циљаним нападима на појединце од интереса у Хонг Конгу и шире. Подручје Кине и 2012. и 2014. године.
Ланац напада за примену шпијунског софтвера НСПКС30
НСПКС30 је представљен компромитацијом система који покушавају да преузму ажурирања софтвера преко (нешифрованог) ХТТП протокола са легитимних сервера. Овај компромис олакшава примену дроппер ДЛЛ датотеке.
Штетни дроппер, покренут током компромитованог процеса ажурирања, генерише више датотека на диску и покреће извршавање „РсСтуб.еке“, бинарне датотеке повезане са антивирусним софтвером. Овај корак искоришћава рањивост првог на бочно учитавање ДЛЛ-а, омогућавајући покретање „цомк3.длл“.
Након тога, 'цомк3.длл' служи као учитавач, извршавајући трећу датотеку под називом 'цомк3.длл.ткт'. Ова датотека функционише као библиотека инсталатера, покрећући следећу фазу ланца напада, што на крају доводи до извршавања компоненте оркестратора ('ВИН.цфг').
Специфичан метод којим актери претњи испоручују капалицу у облику лажних ажурирања остаје непознат. Међутим, историјски обрасци указују на то да су кинески актери претњи, као што су БлацкТецх , Евасиве Панда, Јудгемент Панда и Мустанг Панда, користили компромитоване рутере као канал за дистрибуцију малвера. Истраживачи сугеришу могућност да нападачи постављају мрежни имплант унутар мрежа жртава, потенцијално циљајући на рањиве мрежне уређаје попут рутера или мрежних пролаза.
НСПКС30 шпијунски софтвер може да обавља одређене радње на основу Ц2 команди
Оркестратор иницира креирање две нити: један посвећен преузимању бацкдоор-а ('мсфмткл.дат') и други фокусиран на учитавање његових додатака и укључивање искључења како би се омогућило заобилажење кинеских анти-малвер решења од стране ДЛЛ-ова за учитавање.
За преузимање бацкдоор-а, ХТТП захтев се шаље на ввв.баиду[.]цом, легитимни кинески претраживач у власништву Баиду-а. Захтев користи неконвенционални низ Усер-Агент, који опонаша Интернет Екплорер на Виндовс 98 да би прикрио своје порекло. Одговор сервера се чува у датотеци, а бацкдоор компонента се затим издваја и учитава у меморију система.
Као део свог процеса иницијализације, НСПКС30 успоставља пасивну утичницу за слушање УДП-а дизајнирану да прима команде од контролера и олакшава ексфилтрацију података. Ово укључује вероватно пресретање ДНС пакета упита ради анонимизације његове инфраструктуре за команду и контролу (Ц2).
Упутства која се пружају бацкдоор-у омогућавају различите функционалности, укључујући креирање обрнуте љуске, прикупљање информација о датотеци, окончање одређених процеса, снимање снимака екрана, евидентирање притисака на тастере, па чак и деинсталирање са заражене машине.
