NSPX30 spionprogram
En oidentifierad hotaktör associerad med Kina har dykt upp och engagerat sig i flera Adversary-in-the-Middle (AitM)-attacker. Dessa attacker involverar kapning av uppdateringsbegäranden från legitim programvara med avsikten att leverera ett sofistikerat implantat som kallas NSPX30. Forskare övervakar denna avancerade persistent hot-grupp (APT) och identifierar den som "Blackwood". Resultaten tyder på att denna cyberbrottsgrupp har varit operativ sedan åtminstone 2018.
NSPX30-implantatet har upptäckts i fall där det har distribuerats genom uppdateringsmekanismerna för välkänd programvara, inklusive Tencent QQ, WPS Office och Sogou Pinyin. Målen för dessa attacker är företag involverade i tillverkning, handel och ingenjörskonst i Kina och Japan. Dessutom har individer i Kina, Japan och Storbritannien också drabbats av dessa AitM-attacker.
Innehållsförteckning
NSPX30-spionprogram är ett multikomponenthot
NSPX30 representerar ett sofistikerat flerstegsimplantat som består av olika komponenter, inklusive en droppare, installatör, lastare, orkestrator och en bakdörr. Bakdörren och orkestratorn har var och en distinkt uppsättning plugins. Implantatets arkitektur var strategiskt utformad för att utnyttja kapaciteten för paketavlyssning, vilket gör det möjligt för NSPX30-operatörer att dölja sin infrastruktur effektivt.
Ursprunget till bakdörren, som har den ytterligare förmågan att kringgå flera kinesiska anti-malware-lösningar genom självtillåtande listning, kan spåras tillbaka till en tidigare skadlig programvara känd som Project Wood, som introducerades i januari 2005. Project Wood skapades för att samla system och nätverksinformation, fånga tangenttryckningar och ta skärmdumpar av offersystem.
Kodbasen för Project Wood har fungerat som grunden för olika implantat, vilket har gett upphov till derivat som DCM (även känd som Dark Spectre) 2008. Därefter användes denna skadliga programvara i riktade attacker mot individer av intresse i Hongkong och det större området. Kina-området både 2012 och 2014.
Attackkedja för distribution av NSPX30-spionprogram
NSPX30 introduceras genom kompromissen mellan system som försöker ladda ner programuppdateringar via det (okrypterade) HTTP-protokollet från legitima servrar. Denna kompromiss underlättar distributionen av en dropper-DLL-fil.
Den skadliga dropparen, som initierades under den komprometterade uppdateringsprocessen, genererar flera filer på disken och initierar exekveringen av "RsStub.exe", en binär associerad med antivirusprogramvara. Detta steg utnyttjar sårbarheten hos den förra för DLL-sidoladdning, vilket möjliggör lanseringen av 'comx3.dll.'
Därefter fungerar 'comx3.dll' som en laddare och kör en tredje fil med namnet 'comx3.dll.txt'. Den här filen fungerar som ett installationsbibliotek, som utlöser nästa steg i attackkedjan, vilket i slutändan leder till exekvering av orkestratorkomponenten ('WIN.cfg').
Den specifika metoden med vilken hotaktörer levererar droppen i form av falska uppdateringar är fortfarande okänd. Historiska mönster indikerar dock att kinesiska hotaktörer, som BlackTech , Evasive Panda, Judgment Panda och Mustang Panda, har använt komprometterade routrar som en distributionskanal för skadlig programvara. Forskare föreslår möjligheten att angriparna distribuerar ett nätverksimplantat inom offrens nätverk, potentiellt riktar sig mot sårbara nätverksapparater som routrar eller gateways.
NSPX30-spionprogrammet kan utföra specifika åtgärder baserat på C2-kommandon
Orkestratören initierar skapandet av två trådar: en dedikerad till att skaffa bakdörren ('msfmtkl.dat') och den andra fokuserade på att ladda dess plugins och införliva undantag för att möjliggöra förbikoppling av kinesiska anti-malware-lösningar av loader-DLL:erna.
För att ladda ner bakdörren görs en HTTP-förfrågan till www.baidu[.]com, den legitima kinesiska sökmotorn som ägs av Baidu. Begäran använder en okonventionell User-Agent-sträng, som efterliknar Internet Explorer på Windows 98 för att dölja dess ursprung. Serverns svar sparas i en fil och bakdörrskomponenten extraheras sedan och laddas in i systemets minne.
Som en del av dess initialiseringsprocess etablerar NSPX30 en passiv UDP-lyssningssocket designad för att ta emot kommandon från styrenheten och underlätta dataexfiltrering. Detta involverar sannolikt avlyssning av DNS-frågepaket för att anonymisera dess Command-and-Control (C2)-infrastruktur.
Instruktionerna till bakdörren möjliggör olika funktioner, inklusive skapandet av ett omvänt skal, samla in filinformation, avsluta specifika processer, ta skärmdumpar, logga tangenttryckningar och till och med avinstallera sig själv från den infekterade maskinen.
