NSPX30 స్పైవేర్
చైనాతో సంబంధం ఉన్న గుర్తించబడని బెదిరింపు నటుడు ఉద్భవించాడు, అనేక విరోధి-ఇన్-ది-మిడిల్ (AitM) దాడులకు పాల్పడ్డాడు. ఈ దాడులలో NSPX30 అని పిలువబడే ఒక అధునాతన ఇంప్లాంట్ను అందించాలనే ఉద్దేశ్యంతో చట్టబద్ధమైన సాఫ్ట్వేర్ నుండి నవీకరణ అభ్యర్థనలను హైజాక్ చేయడం జరుగుతుంది. పరిశోధకులు ఈ అధునాతన పెర్సిస్టెంట్ థ్రెట్ (APT) సమూహాన్ని పర్యవేక్షిస్తున్నారు, దీనిని 'బ్లాక్వుడ్'గా గుర్తిస్తున్నారు. ఈ సైబర్ క్రైమ్ గ్రూప్ కనీసం 2018 నుండి పనిచేస్తుందని పరిశోధనలు సూచిస్తున్నాయి.
NSPX30 ఇంప్లాంట్ టెన్సెంట్ QQ, WPS ఆఫీస్ మరియు సోగౌ పిన్యిన్తో సహా ప్రసిద్ధ సాఫ్ట్వేర్ యొక్క అప్డేట్ మెకానిజమ్ల ద్వారా అమలు చేయబడిన సందర్భాల్లో కనుగొనబడింది. ఈ దాడుల లక్ష్యాలు చైనా మరియు జపాన్లలో తయారీ, వ్యాపారం మరియు ఇంజనీరింగ్లో నిమగ్నమైన కంపెనీలు. అదనంగా, చైనా, జపాన్ మరియు UKలోని వ్యక్తులు కూడా ఈ AitM దాడుల వల్ల ప్రభావితమయ్యారు.
విషయ సూచిక
NSPX30 స్పైవేర్ ఒక బహుళ-భాగాల ముప్పు
NSPX30 అనేది డ్రాపర్, ఇన్స్టాలర్, లోడర్లు, ఆర్కెస్ట్రేటర్ మరియు బ్యాక్డోర్తో సహా వివిధ భాగాలతో కూడిన అధునాతన మల్టీస్టేజ్ ఇంప్లాంట్ను సూచిస్తుంది. బ్యాక్డోర్ మరియు ఆర్కెస్ట్రేటర్ ప్రతి ఒక్కటి విభిన్నమైన ప్లగిన్లను కలిగి ఉంటాయి. ఇంప్లాంట్ యొక్క నిర్మాణం వ్యూహాత్మకంగా ప్యాకెట్ ఇంటర్సెప్షన్ సామర్థ్యాలను ప్రభావితం చేయడానికి రూపొందించబడింది, NSPX30 ఆపరేటర్లు తమ అవస్థాపనను సమర్థవంతంగా దాచడానికి అనుమతిస్తుంది.
స్వీయ-అనుమత జాబితా ద్వారా అనేక చైనీస్ యాంటీ-మాల్వేర్ పరిష్కారాలను తప్పించుకునే అదనపు సామర్థ్యాన్ని కలిగి ఉన్న బ్యాక్డోర్ యొక్క మూలాలు, జనవరి 2005లో ప్రవేశపెట్టబడిన ప్రాజెక్ట్ వుడ్ అని పిలువబడే మునుపటి మాల్వేర్ నుండి గుర్తించబడతాయి. ప్రాజెక్ట్ వుడ్ సిస్టమ్ను సేకరించడానికి రూపొందించబడింది. మరియు నెట్వర్క్ సమాచారం, కీస్ట్రోక్లను సంగ్రహించడం మరియు బాధిత వ్యవస్థల స్క్రీన్షాట్లను తీయడం.
ప్రాజెక్ట్ వుడ్ యొక్క కోడ్బేస్ 2008లో DCM (డార్క్ స్పెక్టర్ అని కూడా పిలుస్తారు) వంటి ఉత్పన్నాలకు దారితీసిన వివిధ ఇంప్లాంట్లకు పునాదిగా పనిచేసింది. తదనంతరం, ఈ మాల్వేర్ హాంకాంగ్ మరియు గ్రేటర్లో ఆసక్తి ఉన్న వ్యక్తులపై లక్ష్య దాడులలో ఉపయోగించబడింది. 2012 మరియు 2014 రెండింటిలోనూ చైనా ప్రాంతం.
NSPX30 స్పైవేర్ యొక్క విస్తరణ కోసం అటాక్ చైన్
చట్టబద్ధమైన సర్వర్ల నుండి (ఎన్క్రిప్ట్ చేయని) HTTP ప్రోటోకాల్ ద్వారా సాఫ్ట్వేర్ నవీకరణలను డౌన్లోడ్ చేయడానికి ప్రయత్నించే సిస్టమ్ల రాజీ ద్వారా NSPX30 పరిచయం చేయబడింది. ఈ రాజీ డ్రాపర్ DLL ఫైల్ యొక్క విస్తరణను సులభతరం చేస్తుంది.
రాజీపడిన అప్డేట్ ప్రాసెస్లో ప్రారంభించబడిన హానికరమైన డ్రాపర్, డిస్క్లో బహుళ ఫైల్లను ఉత్పత్తి చేస్తుంది మరియు యాంటీవైరస్ సాఫ్ట్వేర్తో అనుబంధించబడిన బైనరీ అయిన 'RSStub.exe' అమలును ప్రారంభిస్తుంది. ఈ దశ 'comx3.dll.' లాంచ్ను ప్రారంభించడం ద్వారా DLL సైడ్-లోడింగ్కు మునుపటి యొక్క దుర్బలత్వాన్ని ఉపయోగించుకుంటుంది.
తదనంతరం, 'comx3.dll' ఒక లోడర్గా పనిచేస్తుంది, 'comx3.dll.txt.' పేరుతో మూడవ ఫైల్ను అమలు చేస్తుంది. ఈ ఫైల్ ఇన్స్టాలర్ లైబ్రరీగా పనిచేస్తుంది, దాడి గొలుసు యొక్క తదుపరి దశను ట్రిగ్గర్ చేస్తుంది, చివరికి ఆర్కెస్ట్రాటర్ భాగం ('WIN.cfg') అమలుకు దారి తీస్తుంది.
బెదిరింపు నటులు డ్రాపర్ను బోగస్ అప్డేట్ల రూపంలో అందించే నిర్దిష్ట పద్ధతి ఇంకా తెలియదు. ఏది ఏమైనప్పటికీ, బ్లాక్టెక్ , ఎవాసివ్ పాండా, జడ్జిమెంట్ పాండా మరియు ముస్తాంగ్ పాండా వంటి చైనీస్ ముప్పు నటులు మాల్వేర్ కోసం పంపిణీ ఛానెల్గా రాజీపడిన రౌటర్లను ఉపయోగించారని చారిత్రక నమూనాలు సూచిస్తున్నాయి. దాడి చేసేవారు బాధితుల నెట్వర్క్లలో నెట్వర్క్ ఇంప్లాంట్ను మోహరించే అవకాశం ఉందని పరిశోధకులు సూచిస్తున్నారు, రౌటర్లు లేదా గేట్వేలు వంటి హాని కలిగించే నెట్వర్క్ ఉపకరణాలను లక్ష్యంగా చేసుకోవచ్చు.
NSPX30 స్పైవేర్ C2 ఆదేశాల ఆధారంగా నిర్దిష్ట చర్యలను చేయగలదు
ఆర్కెస్ట్రేటర్ రెండు థ్రెడ్ల సృష్టిని ప్రారంభిస్తాడు: ఒకటి బ్యాక్డోర్ ('msfmtkl.dat')ని పొందేందుకు అంకితం చేయబడింది మరియు మరొకటి దాని ప్లగిన్లను లోడ్ చేయడం మరియు లోడర్ DLLల ద్వారా చైనీస్ యాంటీ-మాల్వేర్ సొల్యూషన్లను బైపాస్ చేయడాన్ని ప్రారంభించడానికి మినహాయింపులను చేర్చడంపై దృష్టి పెట్టింది.
బ్యాక్డోర్ను డౌన్లోడ్ చేయడానికి, Baidu యాజమాన్యంలోని చట్టబద్ధమైన చైనీస్ శోధన ఇంజిన్ www.baidu[.]comకి HTTP అభ్యర్థన చేయబడింది. అభ్యర్థన దాని మూలాన్ని దాచిపెట్టడానికి విండోస్ 98లో ఇంటర్నెట్ ఎక్స్ప్లోరర్ను అనుకరిస్తూ ఒక సంప్రదాయేతర వినియోగదారు-ఏజెంట్ స్ట్రింగ్ను ఉపయోగిస్తుంది. సర్వర్ యొక్క ప్రతిస్పందన ఫైల్కి సేవ్ చేయబడుతుంది మరియు బ్యాక్డోర్ భాగం తర్వాత సంగ్రహించబడుతుంది మరియు సిస్టమ్ మెమరీలోకి లోడ్ చేయబడుతుంది.
దాని ప్రారంభ ప్రక్రియలో భాగంగా, NSPX30 కంట్రోలర్ నుండి ఆదేశాలను స్వీకరించడానికి మరియు డేటా ఎక్స్ఫిల్ట్రేషన్ను సులభతరం చేయడానికి రూపొందించిన నిష్క్రియ UDP లిజనింగ్ సాకెట్ను ఏర్పాటు చేస్తుంది. ఇది దాని కమాండ్-అండ్-కంట్రోల్ (C2) ఇన్ఫ్రాస్ట్రక్చర్ను అనామకంగా మార్చడానికి DNS ప్రశ్న ప్యాకెట్లను అడ్డగించడాన్ని కలిగి ఉంటుంది.
బ్యాక్డోర్కు అందించబడిన సూచనలు రివర్స్ షెల్ను సృష్టించడం, ఫైల్ సమాచారాన్ని సేకరించడం, నిర్దిష్ట ప్రక్రియలను ముగించడం, స్క్రీన్షాట్లను క్యాప్చర్ చేయడం, కీస్ట్రోక్లను లాగింగ్ చేయడం మరియు సోకిన మెషీన్ నుండి అన్ఇన్స్టాల్ చేయడం వంటి వివిధ కార్యాచరణలను ప్రారంభిస్తాయి.