Phần mềm gián điệp NSPX30

Một tác nhân đe dọa không xác định có liên quan đến Trung Quốc đã xuất hiện, tham gia vào một số cuộc tấn công của kẻ thù ở giữa (AitM). Các cuộc tấn công này liên quan đến việc chiếm đoạt các yêu cầu cập nhật từ phần mềm hợp pháp với mục đích cung cấp một bộ cấy phức tạp có tên NSPX30. Các nhà nghiên cứu đang theo dõi nhóm mối đe dọa dai dẳng (APT) nâng cao này và xác định nó là 'Blackwood'. Các phát hiện cho thấy nhóm tội phạm mạng này đã hoạt động ít nhất từ năm 2018.

Bộ cấy NSPX30 đã được phát hiện trong các trường hợp nó được triển khai thông qua cơ chế cập nhật của phần mềm nổi tiếng, bao gồm Tencent QQ, WPS Office và Sogou Pinyin. Mục tiêu của các cuộc tấn công này là các công ty liên quan đến sản xuất, thương mại và kỹ thuật ở Trung Quốc và Nhật Bản. Ngoài ra, các cá nhân ở Trung Quốc, Nhật Bản và Vương quốc Anh cũng bị ảnh hưởng bởi các cuộc tấn công AitM này.

Phần mềm gián điệp NSPX30 là mối đe dọa đa thành phần

NSPX30 đại diện cho một bộ cấy nhiều tầng phức tạp bao gồm nhiều thành phần khác nhau, bao gồm ống nhỏ giọt, trình cài đặt, bộ tải, bộ điều phối và cửa sau. Mỗi cửa sau và bộ điều phối đều sở hữu các bộ plugin riêng biệt. Kiến trúc của bộ cấy được thiết kế một cách chiến lược để tận dụng khả năng chặn gói, cho phép các nhà khai thác NSPX30 che giấu cơ sở hạ tầng của họ một cách hiệu quả.

Nguồn gốc của cửa sau, có khả năng bổ sung để vượt qua một số giải pháp chống phần mềm độc hại của Trung Quốc thông qua danh sách tự cho phép, có thể bắt nguồn từ một phần mềm độc hại trước đó có tên Project Wood, được giới thiệu vào tháng 1 năm 2005. Project Wood được tạo ra để thu thập hệ thống và thông tin mạng, chụp các thao tác gõ phím và chụp ảnh màn hình hệ thống nạn nhân.

Cơ sở mã của Project Wood đã đóng vai trò là nền tảng cho nhiều thiết bị cấy ghép khác nhau, tạo ra các dẫn xuất như DCM (còn được gọi là Dark Spectre) vào năm 2008. Sau đó, phần mềm độc hại này được sử dụng trong các cuộc tấn công có chủ đích nhằm vào các cá nhân quan tâm ở Hồng Kông và Đại lục. Khu vực Trung Quốc trong cả năm 2012 và 2014

Chuỗi tấn công để triển khai phần mềm gián điệp NSPX30

NSPX30 được giới thiệu thông qua việc xâm phạm các hệ thống đang cố tải xuống các bản cập nhật phần mềm thông qua giao thức HTTP (không được mã hóa) từ các máy chủ hợp pháp. Sự thỏa hiệp này tạo điều kiện thuận lợi cho việc triển khai tệp DLL nhỏ giọt.

Công cụ nhỏ giọt có hại, được khởi tạo trong quá trình cập nhật bị xâm nhập, tạo ra nhiều tệp trên đĩa và bắt đầu thực thi 'RsStub.exe', một tệp nhị phân được liên kết với phần mềm chống vi-rút. Bước này khai thác lỗ hổng trước đây đối với việc tải bên DLL, cho phép khởi chạy 'comx3.dll.'

Sau đó, 'comx3.dll' đóng vai trò là trình tải, thực thi tệp thứ ba có tên 'comx3.dll.txt.' Tệp này hoạt động như một thư viện trình cài đặt, kích hoạt giai đoạn tiếp theo của chuỗi tấn công, cuối cùng dẫn đến việc thực thi thành phần điều phối ('WIN.cfg').

Phương pháp cụ thể mà các tác nhân đe dọa sử dụng để phân phối thiết bị nhỏ giọt dưới dạng cập nhật không có thật vẫn chưa được biết. Tuy nhiên, các mô hình lịch sử chỉ ra rằng các tác nhân đe dọa Trung Quốc, chẳng hạn như BlackTech , Evasive Panda, Judgment Panda và Mustang Panda, đã sử dụng các bộ định tuyến bị xâm nhập làm kênh phân phối phần mềm độc hại. Các nhà nghiên cứu đề xuất khả năng những kẻ tấn công đang triển khai một thiết bị cấy ghép mạng trong mạng của nạn nhân, có khả năng nhắm mục tiêu vào các thiết bị mạng dễ bị tấn công như bộ định tuyến hoặc cổng.

Phần mềm gián điệp NSPX30 có thể thực hiện các hành động cụ thể dựa trên lệnh C2

Người điều phối bắt đầu tạo hai luồng: một luồng dành riêng để lấy cửa sau ('msfmtkl.dat') và luồng còn lại tập trung vào việc tải các plugin của nó và kết hợp các loại trừ để cho phép các DLL của trình tải vượt qua các giải pháp chống phần mềm độc hại của Trung Quốc.

Để tải xuống cửa sau, một yêu cầu HTTP được gửi tới www.baidu[.]com, công cụ tìm kiếm hợp pháp của Trung Quốc thuộc sở hữu của Baidu. Yêu cầu sử dụng chuỗi Tác nhân người dùng độc đáo, bắt chước Internet Explorer trên Windows 98 để ngụy trang nguồn gốc của nó. Phản hồi của máy chủ được lưu vào một tệp và thành phần cửa sau sau đó được trích xuất và tải vào bộ nhớ của hệ thống.

Là một phần của quá trình khởi tạo, NSPX30 thiết lập ổ cắm nghe UDP thụ động được thiết kế để nhận lệnh từ bộ điều khiển và tạo điều kiện cho việc trích xuất dữ liệu. Điều này liên quan đến khả năng chặn các gói truy vấn DNS để ẩn danh cơ sở hạ tầng Lệnh và Kiểm soát (C2) của nó.

Các hướng dẫn được cung cấp cho cửa sau cho phép thực hiện nhiều chức năng khác nhau, bao gồm tạo shell đảo ngược, thu thập thông tin tệp, chấm dứt các quy trình cụ thể, chụp ảnh màn hình, ghi lại các lần nhấn phím và thậm chí gỡ cài đặt chính nó khỏi máy bị nhiễm.