NSPX30 Casus Yazılımı
Birkaç Ortadaki Düşman (AitM) saldırısına katılan Çin ile bağlantılı kimliği belirsiz bir tehdit aktörü ortaya çıktı. Bu saldırılar, NSPX30 olarak bilinen karmaşık bir implant sunmak amacıyla yasal yazılımlardan gelen güncelleme isteklerinin ele geçirilmesini içeriyor. Araştırmacılar bu gelişmiş kalıcı tehdit (APT) grubunu izliyor ve onu 'Blackwood' olarak tanımlıyor. Bulgular, bu siber suç grubunun en az 2018'den beri faaliyette olduğunu gösteriyor.
NSPX30 implantı, Tencent QQ, WPS Office ve Sogou Pinyin gibi iyi bilinen yazılımların güncelleme mekanizmaları aracılığıyla dağıtıldığı durumlarda tespit edildi. Bu saldırıların hedefleri Çin ve Japonya'da üretim, ticaret ve mühendislikle uğraşan şirketlerdir. Ayrıca Çin, Japonya ve İngiltere'deki bireyler de bu AitM saldırılarından etkilendi.
İçindekiler
NSPX30 Casus Yazılımı Çok Bileşenli Bir Tehdittir
NSPX30, bir damlalık, yükleyici, yükleyici, orkestratör ve arka kapı dahil olmak üzere çeşitli bileşenlerden oluşan gelişmiş, çok aşamalı bir implantı temsil eder. Arka kapı ve orkestratörün her biri farklı eklenti setlerine sahiptir. İmplantın mimarisi, paket müdahale yeteneklerini güçlendirecek şekilde stratejik olarak tasarlandı ve NSPX30 operatörlerinin altyapılarını etkili bir şekilde gizlemelerine olanak tanıdı.
Kendi kendine izin veren listeleme yoluyla çeşitli Çin kötü amaçlı yazılım önleme çözümlerini atlatma ek kapasitesine sahip olan arka kapının kökenleri, Ocak 2005'te piyasaya sürülen Project Wood olarak bilinen daha eski bir kötü amaçlı yazılıma kadar uzanabilir. Project Wood, sistemi toplamak için tasarlandı. ve ağ bilgileri, tuş vuruşlarını yakalayın ve kurban sistemlerin ekran görüntülerini alın.
Project Wood'un kod tabanı, çeşitli implantlar için temel oluşturmuş ve 2008 yılında DCM (Dark Spectre olarak da bilinir) gibi türevlerin ortaya çıkmasına neden olmuştur. Daha sonra, bu kötü amaçlı yazılım, Hong Kong ve Büyük Şehir'deki ilgili kişilere yönelik hedefli saldırılarda kullanılmıştır. Hem 2012 hem de 2014'te Çin bölgesi.
NSPX30 Casus Yazılımının Dağıtımı için Saldırı Zinciri
NSPX30, meşru sunuculardan (şifrelenmemiş) HTTP protokolü aracılığıyla yazılım güncellemelerini indirmeye çalışan sistemlerin ele geçirilmesiyle ortaya çıkar. Bu uzlaşma, bir damlalık DLL dosyasının dağıtımını kolaylaştırır.
Güvenliği ihlal edilmiş güncelleme işlemi sırasında başlatılan zararlı yazılım, diskte birden fazla dosya oluşturur ve antivirüs yazılımıyla ilişkili bir ikili dosya olan 'RsStub.exe'nin yürütülmesini başlatır. Bu adım, önceki dosyanın DLL tarafından yandan yüklemeye karşı güvenlik açığından yararlanarak 'comx3.dll' dosyasının başlatılmasını sağlar.
Daha sonra 'comx3.dll', 'comx3.dll.txt' adlı üçüncü bir dosyayı çalıştırarak yükleyici görevi görür. Bu dosya bir yükleyici kitaplığı işlevi görerek saldırı zincirinin bir sonraki aşamasını tetikler ve sonuçta orkestratör bileşeninin ('WIN.cfg') yürütülmesine yol açar.
Tehdit aktörlerinin, damlalığı sahte güncellemeler biçiminde teslim etme yönteminin spesifik yöntemi hala bilinmiyor. Ancak tarihsel modeller, BlackTech , Evasive Panda, Judgment Panda ve Mustang Panda gibi Çinli tehdit aktörlerinin kötü amaçlı yazılım için bir dağıtım kanalı olarak ele geçirilen yönlendiricileri kullandığını gösteriyor. Araştırmacılar, saldırganların kurbanların ağlarına bir ağ implantı yerleştirip potansiyel olarak yönlendiriciler veya ağ geçitleri gibi savunmasız ağ cihazlarını hedef alma olasılığını öne sürüyor.
NSPX30 Casus Yazılımı, C2 Komutlarına Dayalı Belirli Eylemler Gerçekleştirebilir
Orkestratör iki iş parçacığının oluşturulmasını başlatır: biri arka kapıyı ('msfmtkl.dat') edinmeye adanmış, diğeri eklentilerini yüklemeye ve Çin kötü amaçlı yazılımdan koruma çözümlerinin yükleyici DLL'ler tarafından atlanmasını sağlamak için dışlamaları birleştirmeye odaklanmıştır.
Arka kapıyı indirmek için Baidu'nun sahibi olduğu meşru Çin arama motoru www.baidu[.]com'a bir HTTP isteği yapılır. İstek, kaynağını gizlemek için Windows 98'deki Internet Explorer'ı taklit eden alışılmadık bir Kullanıcı Aracısı dizesi kullanıyor. Sunucunun yanıtı bir dosyaya kaydedilir ve daha sonra arka kapı bileşeni çıkartılıp sistemin belleğine yüklenir.
Başlatma sürecinin bir parçası olarak NSPX30, denetleyiciden komutlar almak ve veri sızmasını kolaylaştırmak için tasarlanmış pasif bir UDP dinleme soketi oluşturur. Bu, muhtemelen Komuta ve Kontrol (C2) altyapısını anonimleştirmek için DNS sorgu paketlerinin ele geçirilmesini içerir.
Arka kapıya sağlanan talimatlar, ters kabuk oluşturma, dosya bilgileri toplama, belirli işlemleri sonlandırma, ekran görüntüleri yakalama, tuş vuruşlarını kaydetme ve hatta kendisini virüslü makineden kaldırma dahil olmak üzere çeşitli işlevleri etkinleştirir.
