สปายแวร์ NSPX30
ผู้แสดงภัยคุกคามที่ไม่ปรากฏชื่อที่เกี่ยวข้องกับจีนได้ปรากฏตัวขึ้น โดยมีส่วนร่วมในการโจมตี Adversary-in-the-Middle (AitM) หลายครั้ง การโจมตีเหล่านี้เกี่ยวข้องกับการแย่งชิงคำขออัปเดตจากซอฟต์แวร์ที่ถูกกฎหมายโดยมีจุดประสงค์เพื่อส่งมอบอุปกรณ์ฝังที่ซับซ้อนที่เรียกว่า NSPX30 นักวิจัยกำลังติดตามดูกลุ่มภัยคุกคามขั้นสูงแบบถาวร (APT) โดยระบุว่าเป็นกลุ่ม 'Blackwood' ผลการวิจัยชี้ให้เห็นว่ากลุ่มอาชญากรรมไซเบอร์กลุ่มนี้เริ่มดำเนินการมาตั้งแต่ปี 2561 เป็นอย่างน้อย
ตรวจพบการปลูกถ่าย NSPX30 ในกรณีที่ใช้งานผ่านกลไกการอัปเดตของซอฟต์แวร์ที่มีชื่อเสียง รวมถึง Tencent QQ, WPS Office และ Sogou Pinyin เป้าหมายของการโจมตีเหล่านี้คือบริษัทที่เกี่ยวข้องกับการผลิต การค้า และวิศวกรรมในจีนและญี่ปุ่น นอกจากนี้ บุคคลในจีน ญี่ปุ่น และสหราชอาณาจักรยังได้รับผลกระทบจากการโจมตี AitM เหล่านี้อีกด้วย
สารบัญ
สปายแวร์ NSPX30 เป็นภัยคุกคามที่มีหลายองค์ประกอบ
NSPX30 เป็นตัวแทนของการปลูกถ่ายแบบหลายขั้นตอนที่ซับซ้อนซึ่งประกอบด้วยส่วนประกอบต่างๆ รวมถึงหยด ตัวติดตั้ง ตัวโหลด ตัวจัดการและประตูหลัง แบ็คดอร์และออเคสตราต่างก็มีชุดปลั๊กอินที่แตกต่างกัน สถาปัตยกรรมของรากฟันเทียมได้รับการออกแบบอย่างมีกลยุทธ์เพื่อใช้ประโยชน์จากความสามารถในการสกัดกั้นแพ็กเก็ต ซึ่งช่วยให้ผู้ปฏิบัติงาน NSPX30 สามารถปกปิดโครงสร้างพื้นฐานของตนได้อย่างมีประสิทธิภาพ
ต้นกำเนิดของแบ็คดอร์ซึ่งมีขีดความสามารถเพิ่มเติมในการหลีกเลี่ยงโซลูชันป้องกันมัลแวร์ของจีนหลายรายการผ่านรายการอนุญาตด้วยตนเอง สามารถสืบย้อนไปถึงมัลแวร์รุ่นก่อน ๆ ที่รู้จักกันในชื่อ Project Wood ซึ่งเปิดตัวในเดือนมกราคม พ.ศ. 2548 Project Wood ได้รับการออกแบบมาเพื่อรวบรวมระบบ และข้อมูลเครือข่าย จับการกดแป้น และจับภาพหน้าจอของระบบของเหยื่อ
รหัสฐานของ Project Wood ทำหน้าที่เป็นรากฐานสำหรับการปลูกถ่ายต่างๆ ซึ่งก่อให้เกิดอนุพันธ์เช่น DCM (หรือที่รู้จักในชื่อ Dark Spectre) ในปี 2551 ต่อมา มัลแวร์นี้ถูกใช้ในการโจมตีแบบกำหนดเป้าหมายต่อบุคคลที่สนใจในฮ่องกงและมหานคร ประเทศจีนในปี 2555 และ 2557
ห่วงโซ่การโจมตีสำหรับการปรับใช้สปายแวร์ NSPX30
NSPX30 เปิดตัวผ่านการประนีประนอมของระบบที่พยายามดาวน์โหลดการอัปเดตซอฟต์แวร์ผ่านโปรโตคอล HTTP (ไม่ได้เข้ารหัส) จากเซิร์ฟเวอร์ที่ถูกต้อง การประนีประนอมนี้อำนวยความสะดวกในการปรับใช้ไฟล์ DLL แบบหยด
Dropper ที่เป็นอันตรายซึ่งเริ่มต้นในระหว่างกระบวนการอัปเดตที่ถูกบุกรุก จะสร้างไฟล์หลายไฟล์บนดิสก์และเริ่มการทำงานของ 'RsStub.exe' ซึ่งเป็นไบนารีที่เกี่ยวข้องกับซอฟต์แวร์ป้องกันไวรัส ขั้นตอนนี้ใช้ประโยชน์จากช่องโหว่ของเวอร์ชันแรกจากการโหลด DLL ฝั่ง DLL ทำให้สามารถเปิดใช้งาน 'comx3.dll' ได้
ต่อจากนั้น 'comx3.dll' ทำหน้าที่เป็นตัวโหลด โดยเรียกใช้ไฟล์ที่สามชื่อ 'comx3.dll.txt' ไฟล์นี้ทำหน้าที่เป็นไลบรารีตัวติดตั้ง ซึ่งจะกระตุ้นให้เกิดขั้นตอนต่อไปของห่วงโซ่การโจมตี ซึ่งท้ายที่สุดจะนำไปสู่การดำเนินการของส่วนประกอบ orchestrator ('WIN.cfg')
วิธีการเฉพาะที่ผู้คุกคามส่งหยดในรูปแบบของการอัปเดตปลอมยังคงไม่ทราบ อย่างไรก็ตาม รูปแบบในอดีตระบุว่าผู้คุกคามชาวจีน เช่น BlackTech , Evasive Panda, Judgement Panda และ Mustang Panda ได้ใช้เราเตอร์ที่ถูกบุกรุกเป็นช่องทางการเผยแพร่มัลแวร์ นักวิจัยชี้ให้เห็นถึงความเป็นไปได้ที่ผู้โจมตีกำลังปรับใช้เครือข่ายเทียมภายในเครือข่ายของเหยื่อ ซึ่งอาจกำหนดเป้าหมายไปที่อุปกรณ์เครือข่ายที่มีช่องโหว่ เช่น เราเตอร์หรือเกตเวย์
สปายแวร์ NSPX30 สามารถดำเนินการเฉพาะตามคำสั่ง C2
ผู้ดำเนินการเริ่มต้นการสร้างเธรดสองเธรด: เธรดหนึ่งมีไว้สำหรับการรับแบ็คดอร์ ('msfmtkl.dat') และอีกเธรดมุ่งเน้นไปที่การโหลดปลั๊กอินและรวมการยกเว้นเพื่อให้สามารถข้ามโซลูชันป้องกันมัลแวร์ของจีนโดย Loader DLLs
หากต้องการดาวน์โหลดแบ็คดอร์ จะมีการร้องขอ HTTP ไปที่ www.baidu[.]com ซึ่งเป็นเสิร์ชเอ็นจิ้นของจีนที่ถูกกฎหมายซึ่งเป็นเจ้าของโดย Baidu คำขอใช้สตริง User-Agent ที่แหวกแนว โดยเลียนแบบ Internet Explorer บน Windows 98 เพื่อปิดบังต้นกำเนิด การตอบสนองของเซิร์ฟเวอร์จะถูกบันทึกลงในไฟล์ จากนั้นส่วนประกอบแบ็คดอร์จะถูกแยกและโหลดลงในหน่วยความจำของระบบ
ในฐานะที่เป็นส่วนหนึ่งของกระบวนการเริ่มต้น NSPX30 จะสร้างซ็อกเก็ตการฟัง UDP แบบพาสซีฟที่ออกแบบมาเพื่อรับคำสั่งจากตัวควบคุมและอำนวยความสะดวกในการขโมยข้อมูล สิ่งนี้เกี่ยวข้องกับการดักจับแพ็กเก็ตการสืบค้น DNS เพื่อทำให้โครงสร้างพื้นฐาน Command-and-Control (C2) เป็นนิรนาม
คำแนะนำที่ให้ไว้กับแบ็คดอร์เปิดใช้งานฟังก์ชันต่างๆ รวมถึงการสร้าง Reverse Shell การรวบรวมข้อมูลไฟล์ การยกเลิกกระบวนการเฉพาะ การจับภาพหน้าจอ การบันทึกการกดแป้นพิมพ์ และแม้แต่การถอนการติดตั้งตัวเองจากเครื่องที่ติดไวรัส
