NSPX30 స్పైవేర్

చైనాతో సంబంధం ఉన్న గుర్తించబడని బెదిరింపు నటుడు ఉద్భవించాడు, అనేక విరోధి-ఇన్-ది-మిడిల్ (AitM) దాడులకు పాల్పడ్డాడు. ఈ దాడులలో NSPX30 అని పిలువబడే ఒక అధునాతన ఇంప్లాంట్‌ను అందించాలనే ఉద్దేశ్యంతో చట్టబద్ధమైన సాఫ్ట్‌వేర్ నుండి నవీకరణ అభ్యర్థనలను హైజాక్ చేయడం జరుగుతుంది. పరిశోధకులు ఈ అధునాతన పెర్సిస్టెంట్ థ్రెట్ (APT) సమూహాన్ని పర్యవేక్షిస్తున్నారు, దీనిని 'బ్లాక్‌వుడ్'గా గుర్తిస్తున్నారు. ఈ సైబర్ క్రైమ్ గ్రూప్ కనీసం 2018 నుండి పనిచేస్తుందని పరిశోధనలు సూచిస్తున్నాయి.

NSPX30 ఇంప్లాంట్ టెన్సెంట్ QQ, WPS ఆఫీస్ మరియు సోగౌ పిన్యిన్‌తో సహా ప్రసిద్ధ సాఫ్ట్‌వేర్ యొక్క అప్‌డేట్ మెకానిజమ్‌ల ద్వారా అమలు చేయబడిన సందర్భాల్లో కనుగొనబడింది. ఈ దాడుల లక్ష్యాలు చైనా మరియు జపాన్‌లలో తయారీ, వ్యాపారం మరియు ఇంజనీరింగ్‌లో నిమగ్నమైన కంపెనీలు. అదనంగా, చైనా, జపాన్ మరియు UKలోని వ్యక్తులు కూడా ఈ AitM దాడుల వల్ల ప్రభావితమయ్యారు.

NSPX30 స్పైవేర్ ఒక బహుళ-భాగాల ముప్పు

NSPX30 అనేది డ్రాపర్, ఇన్‌స్టాలర్, లోడర్‌లు, ఆర్కెస్ట్రేటర్ మరియు బ్యాక్‌డోర్‌తో సహా వివిధ భాగాలతో కూడిన అధునాతన మల్టీస్టేజ్ ఇంప్లాంట్‌ను సూచిస్తుంది. బ్యాక్‌డోర్ మరియు ఆర్కెస్ట్రేటర్ ప్రతి ఒక్కటి విభిన్నమైన ప్లగిన్‌లను కలిగి ఉంటాయి. ఇంప్లాంట్ యొక్క నిర్మాణం వ్యూహాత్మకంగా ప్యాకెట్ ఇంటర్‌సెప్షన్ సామర్థ్యాలను ప్రభావితం చేయడానికి రూపొందించబడింది, NSPX30 ఆపరేటర్‌లు తమ అవస్థాపనను సమర్థవంతంగా దాచడానికి అనుమతిస్తుంది.

స్వీయ-అనుమత జాబితా ద్వారా అనేక చైనీస్ యాంటీ-మాల్వేర్ పరిష్కారాలను తప్పించుకునే అదనపు సామర్థ్యాన్ని కలిగి ఉన్న బ్యాక్‌డోర్ యొక్క మూలాలు, జనవరి 2005లో ప్రవేశపెట్టబడిన ప్రాజెక్ట్ వుడ్ అని పిలువబడే మునుపటి మాల్వేర్ నుండి గుర్తించబడతాయి. ప్రాజెక్ట్ వుడ్ సిస్టమ్‌ను సేకరించడానికి రూపొందించబడింది. మరియు నెట్‌వర్క్ సమాచారం, కీస్ట్రోక్‌లను సంగ్రహించడం మరియు బాధిత వ్యవస్థల స్క్రీన్‌షాట్‌లను తీయడం.

ప్రాజెక్ట్ వుడ్ యొక్క కోడ్‌బేస్ 2008లో DCM (డార్క్ స్పెక్టర్ అని కూడా పిలుస్తారు) వంటి ఉత్పన్నాలకు దారితీసిన వివిధ ఇంప్లాంట్‌లకు పునాదిగా పనిచేసింది. తదనంతరం, ఈ మాల్వేర్ హాంకాంగ్ మరియు గ్రేటర్‌లో ఆసక్తి ఉన్న వ్యక్తులపై లక్ష్య దాడులలో ఉపయోగించబడింది. 2012 మరియు 2014 రెండింటిలోనూ చైనా ప్రాంతం.

NSPX30 స్పైవేర్ యొక్క విస్తరణ కోసం అటాక్ చైన్

చట్టబద్ధమైన సర్వర్‌ల నుండి (ఎన్‌క్రిప్ట్ చేయని) HTTP ప్రోటోకాల్ ద్వారా సాఫ్ట్‌వేర్ నవీకరణలను డౌన్‌లోడ్ చేయడానికి ప్రయత్నించే సిస్టమ్‌ల రాజీ ద్వారా NSPX30 పరిచయం చేయబడింది. ఈ రాజీ డ్రాపర్ DLL ఫైల్ యొక్క విస్తరణను సులభతరం చేస్తుంది.

రాజీపడిన అప్‌డేట్ ప్రాసెస్‌లో ప్రారంభించబడిన హానికరమైన డ్రాపర్, డిస్క్‌లో బహుళ ఫైల్‌లను ఉత్పత్తి చేస్తుంది మరియు యాంటీవైరస్ సాఫ్ట్‌వేర్‌తో అనుబంధించబడిన బైనరీ అయిన 'RSStub.exe' అమలును ప్రారంభిస్తుంది. ఈ దశ 'comx3.dll.' లాంచ్‌ను ప్రారంభించడం ద్వారా DLL సైడ్-లోడింగ్‌కు మునుపటి యొక్క దుర్బలత్వాన్ని ఉపయోగించుకుంటుంది.

తదనంతరం, 'comx3.dll' ఒక లోడర్‌గా పనిచేస్తుంది, 'comx3.dll.txt.' పేరుతో మూడవ ఫైల్‌ను అమలు చేస్తుంది. ఈ ఫైల్ ఇన్‌స్టాలర్ లైబ్రరీగా పనిచేస్తుంది, దాడి గొలుసు యొక్క తదుపరి దశను ట్రిగ్గర్ చేస్తుంది, చివరికి ఆర్కెస్ట్రాటర్ భాగం ('WIN.cfg') అమలుకు దారి తీస్తుంది.

బెదిరింపు నటులు డ్రాపర్‌ను బోగస్ అప్‌డేట్‌ల రూపంలో అందించే నిర్దిష్ట పద్ధతి ఇంకా తెలియదు. ఏది ఏమైనప్పటికీ, బ్లాక్‌టెక్ , ఎవాసివ్ పాండా, జడ్జిమెంట్ పాండా మరియు ముస్తాంగ్ పాండా వంటి చైనీస్ ముప్పు నటులు మాల్వేర్ కోసం పంపిణీ ఛానెల్‌గా రాజీపడిన రౌటర్‌లను ఉపయోగించారని చారిత్రక నమూనాలు సూచిస్తున్నాయి. దాడి చేసేవారు బాధితుల నెట్‌వర్క్‌లలో నెట్‌వర్క్ ఇంప్లాంట్‌ను మోహరించే అవకాశం ఉందని పరిశోధకులు సూచిస్తున్నారు, రౌటర్లు లేదా గేట్‌వేలు వంటి హాని కలిగించే నెట్‌వర్క్ ఉపకరణాలను లక్ష్యంగా చేసుకోవచ్చు.

NSPX30 స్పైవేర్ C2 ఆదేశాల ఆధారంగా నిర్దిష్ట చర్యలను చేయగలదు

ఆర్కెస్ట్రేటర్ రెండు థ్రెడ్‌ల సృష్టిని ప్రారంభిస్తాడు: ఒకటి బ్యాక్‌డోర్ ('msfmtkl.dat')ని పొందేందుకు అంకితం చేయబడింది మరియు మరొకటి దాని ప్లగిన్‌లను లోడ్ చేయడం మరియు లోడర్ DLLల ద్వారా చైనీస్ యాంటీ-మాల్వేర్ సొల్యూషన్‌లను బైపాస్ చేయడాన్ని ప్రారంభించడానికి మినహాయింపులను చేర్చడంపై దృష్టి పెట్టింది.

బ్యాక్‌డోర్‌ను డౌన్‌లోడ్ చేయడానికి, Baidu యాజమాన్యంలోని చట్టబద్ధమైన చైనీస్ శోధన ఇంజిన్ www.baidu[.]comకి HTTP అభ్యర్థన చేయబడింది. అభ్యర్థన దాని మూలాన్ని దాచిపెట్టడానికి విండోస్ 98లో ఇంటర్నెట్ ఎక్స్‌ప్లోరర్‌ను అనుకరిస్తూ ఒక సంప్రదాయేతర వినియోగదారు-ఏజెంట్ స్ట్రింగ్‌ను ఉపయోగిస్తుంది. సర్వర్ యొక్క ప్రతిస్పందన ఫైల్‌కి సేవ్ చేయబడుతుంది మరియు బ్యాక్‌డోర్ భాగం తర్వాత సంగ్రహించబడుతుంది మరియు సిస్టమ్ మెమరీలోకి లోడ్ చేయబడుతుంది.

దాని ప్రారంభ ప్రక్రియలో భాగంగా, NSPX30 కంట్రోలర్ నుండి ఆదేశాలను స్వీకరించడానికి మరియు డేటా ఎక్స్‌ఫిల్ట్రేషన్‌ను సులభతరం చేయడానికి రూపొందించిన నిష్క్రియ UDP లిజనింగ్ సాకెట్‌ను ఏర్పాటు చేస్తుంది. ఇది దాని కమాండ్-అండ్-కంట్రోల్ (C2) ఇన్‌ఫ్రాస్ట్రక్చర్‌ను అనామకంగా మార్చడానికి DNS ప్రశ్న ప్యాకెట్‌లను అడ్డగించడాన్ని కలిగి ఉంటుంది.

బ్యాక్‌డోర్‌కు అందించబడిన సూచనలు రివర్స్ షెల్‌ను సృష్టించడం, ఫైల్ సమాచారాన్ని సేకరించడం, నిర్దిష్ట ప్రక్రియలను ముగించడం, స్క్రీన్‌షాట్‌లను క్యాప్చర్ చేయడం, కీస్ట్రోక్‌లను లాగింగ్ చేయడం మరియు సోకిన మెషీన్ నుండి అన్‌ఇన్‌స్టాల్ చేయడం వంటి వివిధ కార్యాచరణలను ప్రారంభిస్తాయి.