NSPX30 Spyware
Lumitaw ang isang hindi kilalang aktor ng pagbabanta na nauugnay sa China, na nasangkot sa ilang pag-atake ng Adversary-in-the-Middle (AitM). Kasama sa mga pag-atakeng ito ang pag-hijack ng mga kahilingan sa pag-update mula sa lehitimong software na may layuning maghatid ng sopistikadong implant na kilala bilang NSPX30. Sinusubaybayan ng mga mananaliksik ang advanced persistent threat (APT) group na ito, na kinikilala ito bilang 'Blackwood.' Iminumungkahi ng mga natuklasan na ang pangkat ng cybercrime na ito ay nagpapatakbo mula pa noong 2018.
Ang NSPX30 implant ay nakita sa mga pagkakataon kung saan ito ay na-deploy sa pamamagitan ng mga mekanismo ng pag-update ng kilalang software, kabilang ang Tencent QQ, WPS Office, at Sogou Pinyin. Ang mga target ng mga pag-atake na ito ay mga kumpanyang sangkot sa pagmamanupaktura, pangangalakal, at engineering sa China at Japan. Bukod pa rito, ang mga indibidwal sa China, Japan, at UK ay naapektuhan din ng mga pag-atakeng ito ng AitM.
Talaan ng mga Nilalaman
Ang NSPX30 Spyware ay isang Multi-Component Threat
Ang NSPX30 ay kumakatawan sa isang sopistikadong multistage implant na binubuo ng iba't ibang bahagi, kabilang ang isang dropper, installer, loader, orchestrator, at isang backdoor. Ang backdoor at orchestrator ay nagtataglay ng mga natatanging hanay ng mga plugin. Ang arkitektura ng implant ay estratehikong idinisenyo upang magamit ang mga kakayahan ng packet interception, na nagpapahintulot sa mga operator ng NSPX30 na itago ang kanilang imprastraktura nang epektibo.
Ang mga pinagmulan ng backdoor, na may karagdagang kakayahan sa pag-iwas sa ilang mga solusyon sa anti-malware ng China sa pamamagitan ng self-allow listing, ay maaaring masubaybayan pabalik sa isang mas naunang malware na kilala bilang Project Wood, na ipinakilala noong Enero 2005. Ang Project Wood ay ginawa upang magtipon ng system at impormasyon ng network, kumuha ng mga keystroke, at kumuha ng mga screenshot ng mga system ng biktima.
Ang codebase ng Project Wood ay nagsilbing batayan para sa iba't ibang implant, na nagbunga ng mga derivatives tulad ng DCM (kilala rin bilang Dark Spectre) noong 2008. Kasunod nito, ginamit ang malware na ito sa mga target na pag-atake laban sa mga indibidwal na interesado sa Hong Kong at sa Greater China area noong 2012 at 2014.
Attack Chain para sa Deployment ng NSPX30 Spyware
Ang NSPX30 ay ipinakilala sa pamamagitan ng kompromiso ng mga system na nagtatangkang mag-download ng mga update sa software sa pamamagitan ng (hindi naka-encrypt) na HTTP protocol mula sa mga lehitimong server. Pinapadali ng kompromiso na ito ang pag-deploy ng dropper DLL file.
Ang nakakasakit na dropper, na sinimulan sa panahon ng nakompromisong proseso ng pag-update, ay bumubuo ng maraming file sa disk at pinasimulan ang pagpapatupad ng 'RsStub.exe,' isang binary na nauugnay sa antivirus software. Sinasamantala ng hakbang na ito ang kahinaan ng dating sa DLL side-loading, na nagpapagana sa paglunsad ng 'comx3.dll.'
Kasunod nito, ang 'comx3.dll' ay nagsisilbing loader, na nagpapatupad ng ikatlong file na pinangalanang 'comx3.dll.txt.' Ang file na ito ay gumagana bilang isang installer library, na nagti-trigger sa susunod na yugto ng attack chain, na humahantong sa pagpapatupad ng orchestrator component ('WIN.cfg').
Ang partikular na paraan kung saan ang mga aktor ng pagbabanta ay naghahatid ng dropper sa anyo ng mga huwad na update ay nananatiling hindi alam. Gayunpaman, ipinahihiwatig ng mga makasaysayang pattern na ang mga Chinese threat actor, gaya ng BlackTech , Evasive Panda, Judgment Panda, at Mustang Panda, ay gumamit ng mga nakompromisong router bilang distribution channel para sa malware. Iminumungkahi ng mga mananaliksik ang posibilidad na ang mga umaatake ay nagde-deploy ng network implant sa loob ng mga network ng mga biktima, na posibleng nagta-target ng mga vulnerable na appliances sa network tulad ng mga router o gateway.
Ang NSPX30 Spyware ay maaaring Magsagawa ng Mga Tukoy na Pagkilos Batay sa C2 Commands
Sinimulan ng orchestrator ang paglikha ng dalawang thread: ang isa ay nakatuon sa pagkuha ng backdoor ('msfmtkl.dat') at ang isa ay nakatuon sa paglo-load ng mga plugin nito at pagsasama ng mga pagbubukod upang paganahin ang pag-bypass ng mga solusyon sa anti-malware ng China ng mga loader DLL.
Upang i-download ang backdoor, isang HTTP na kahilingan ang ginawa sa www.baidu[.]com, ang lehitimong Chinese search engine na pag-aari ng Baidu. Gumagamit ang kahilingan ng hindi kinaugalian na string ng User-Agent, na ginagaya ang Internet Explorer sa Windows 98 upang itago ang pinagmulan nito. Ang tugon ng server ay nai-save sa isang file, at ang bahagi ng backdoor ay kinukuha at na-load sa memorya ng system.
Bilang bahagi ng proseso ng pagsisimula nito, nagtatatag ang NSPX30 ng passive UDP listening socket na idinisenyo upang makatanggap ng mga command mula sa controller at mapadali ang pag-exfiltration ng data. Kabilang dito ang malamang na pagharang sa mga DNS query packet upang i-anonymize ang Command-and-Control (C2) na imprastraktura nito.
Ang mga tagubilin na ibinigay sa backdoor ay nagbibigay-daan sa iba't ibang mga pag-andar, kabilang ang paglikha ng isang reverse shell, pangangalap ng impormasyon ng file, pagwawakas ng mga partikular na proseso, pagkuha ng mga screenshot, pag-log keystroke, at pag-uninstall sa sarili nito mula sa nahawaang makina.
