Шпигунське програмне забезпечення NSPX30
З’явився невідомий загрозливий суб’єкт, пов’язаний з Китаєм, який бере участь у кількох атаках противника посередині (AitM). Ці атаки передбачають викрадення запитів на оновлення законного програмного забезпечення з наміром доставити складний імплантат, відомий як NSPX30. Дослідники спостерігають за цією групою передових постійних загроз (APT), ідентифікуючи її як «Blackwood». Отримані дані свідчать про те, що ця кіберзлочинна група діє принаймні з 2018 року.
Імплантат NSPX30 був виявлений у випадках, коли він був розгорнутий через механізми оновлення відомого програмного забезпечення, включаючи Tencent QQ, WPS Office і Sogou Pinyin. Цілями цих атак є компанії, що займаються виробництвом, торгівлею та проектуванням у Китаї та Японії. Крім того, від цих атак AitM постраждали люди в Китаї, Японії та Великобританії.
Зміст
Шпигунське програмне забезпечення NSPX30 є багатокомпонентною загрозою
NSPX30 являє собою складний багатоступінчастий імплантат, що складається з різних компонентів, включаючи крапельницю, інсталятор, завантажувачі, оркестратор і бекдор. Бекдор і оркестратор мають різні набори плагінів. Архітектура імплантату була стратегічно розроблена для використання можливостей перехоплення пакетів, що дозволяє операторам NSPX30 ефективно приховувати свою інфраструктуру.
Походження бекдора, який має додаткову можливість обходити кілька китайських рішень для захисту від зловмисного програмного забезпечення за допомогою самодозволеного списку, можна простежити до попереднього зловмисного програмного забезпечення, відомого як Project Wood, представленого в січні 2005 року. Project Wood був створений для збирання системи та мережеву інформацію, фіксувати натискання клавіш і робити знімки екранів систем-жертв.
База коду Project Wood послужила основою для різноманітних імплантатів, у результаті чого у 2008 році з’явилися такі похідні, як DCM (також відомий як Dark Spectre). Згодом це зловмисне програмне забезпечення використовувалося для цілеспрямованих атак на зацікавлених осіб у Гонконзі та на території інших країн. Площа Китаю в 2012 і 2014 роках.
Ланцюжок атак для розгортання шпигунського ПЗ NSPX30
NSPX30 вводиться через компрометацію систем, які намагаються завантажити оновлення програмного забезпечення через (незашифрований) протокол HTTP із законних серверів. Цей компроміс полегшує розгортання файлу DLL-дропера.
Шкідливий дроппер, ініційований під час скомпрометованого процесу оновлення, генерує кілька файлів на диску та ініціює виконання «RsStub.exe», двійкового файлу, пов’язаного з антивірусним програмним забезпеченням. Цей крок використовує вразливість першого до бокового завантаження DLL, уможливлюючи запуск 'comx3.dll'.
Згодом «comx3.dll» виконує функцію завантажувача, виконуючи третій файл під назвою «comx3.dll.txt». Цей файл функціонує як бібліотека інсталятора, запускаючи наступний етап ланцюга атаки, що зрештою призводить до виконання компонента оркестратора ('WIN.cfg').
Конкретний метод, за допомогою якого зловмисники доставляють дроппер у вигляді фіктивних оновлень, залишається невідомим. Однак історичні закономірності вказують на те, що китайські учасники загроз, такі як BlackTech , Evasive Panda, Judgement Panda та Mustang Panda, використовували скомпрометовані маршрутизатори як канал розповсюдження зловмисного програмного забезпечення. Дослідники припускають, що зловмисники розгортають мережевий імплантат у мережах жертв, потенційно націлюючись на вразливі мережеві пристрої, такі як маршрутизатори чи шлюзи.
Шпигунське програмне забезпечення NSPX30 може виконувати певні дії на основі команд C2
Оркестровник ініціює створення двох потоків: один призначений для отримання бекдору ('msfmtkl.dat'), а інший зосереджений на завантаженні його плагінів і включенні виключень, щоб уможливити обхід китайських рішень для захисту від зловмисного програмного забезпечення DLL-завантажувачами.
Щоб завантажити бекдор, надсилається HTTP-запит до www.baidu[.]com, законної китайської пошукової системи, що належить Baidu. У запиті використовується незвичайний рядок User-Agent, імітуючи Internet Explorer у Windows 98, щоб замаскувати своє походження. Відповідь сервера зберігається у файлі, а бекдор-компонент потім витягується та завантажується в пам’ять системи.
У рамках процесу ініціалізації NSPX30 встановлює пасивний сокет прослуховування UDP, призначений для отримання команд від контролера та сприяння викраданню даних. Ймовірно, це передбачає перехоплення пакетів запитів DNS для анонімізації інфраструктури командування та керування (C2).
Інструкції, надані бекдору, дозволяють виконувати різні функції, включаючи створення зворотної оболонки, збір інформації про файли, завершення певних процесів, створення скріншотів, реєстрацію натискань клавіш і навіть видалення себе з зараженої машини.
