NSPX30 间谍软件
一个与中国有关的身份不明的威胁行为者已经出现,参与了多次中间对手 (AitM) 攻击。这些攻击涉及劫持来自合法软件的更新请求,目的是提供名为 NSPX30 的复杂植入程序。研究人员正在监视这个高级持续威胁 (APT) 组织,并将其识别为“Blackwood”。调查结果表明,该网络犯罪团伙至少自 2018 年以来就一直在运作。
NSPX30植入物已在通过腾讯QQ、WPS Office、搜狗拼音等知名软件的更新机制部署的实例中被检测到。这些攻击的目标是在中国和日本从事制造、贸易和工程的公司。此外,中国、日本和英国的个人也受到了这些 AitM 攻击的影响。
目录
NSPX30 间谍软件是一种多组件威胁
NSPX30 代表一个复杂的多级植入程序,由各种组件组成,包括植入程序、安装程序、加载程序、协调器和后门。后门和编排器各自拥有不同的插件集。该植入物的架构经过战略性设计,旨在利用数据包拦截功能,使 NSPX30 操作员能够有效隐藏其基础设施。
该后门具有通过自我允许列表规避多种中国反恶意软件解决方案的附加功能,其起源可以追溯到 2005 年 1 月推出的名为 Project Wood 的早期恶意软件。Project Wood 旨在收集系统信息和网络信息、捕获击键并对受害者系统进行屏幕截图。
Project Wood 的代码库已成为各种植入程序的基础,并在 2008 年催生了 DCM(也称为 Dark Spectre)等衍生品。随后,该恶意软件被用于针对香港和大中华区感兴趣的个人的有针对性的攻击2012年和2014年中国地区。
NSPX30 间谍软件部署的攻击链
NSPX30 是通过尝试通过(未加密的)HTTP 协议从合法服务器下载软件更新的系统受到攻击而引入的。这种妥协有利于 dropper DLL 文件的部署。
这个有害的植入程序是在受感染的更新过程中启动的,它会在磁盘上生成多个文件,并启动“RsStub.exe”的执行,这是一个与防病毒软件相关的二进制文件。此步骤利用了前者的 DLL 侧面加载漏洞,从而启动“comx3.dll”。
随后,“comx3.dll”充当加载程序,执行名为“comx3.dll.txt”的第三个文件。该文件充当安装程序库,触发攻击链的下一阶段,最终导致协调器组件(“WIN.cfg”)的执行。
威胁行为者以虚假更新的形式传递植入程序的具体方法仍然未知。然而,历史模式表明, BlackTech 、Evasive Panda、Judgment Panda 和 Mustang Panda 等中国威胁行为者已利用受感染的路由器作为恶意软件的分发渠道。研究人员认为,攻击者有可能在受害者的网络中部署网络植入程序,可能针对路由器或网关等易受攻击的网络设备。
NSPX30间谍软件可以根据C2命令执行特定操作
协调器启动两个线程的创建:一个专门用于获取后门(“msfmtkl.dat”),另一个专注于加载其插件并合并排除项,以便通过加载程序 DLL 绕过中国反恶意软件解决方案。
要下载后门,需要向 www.baidu[.]com(百度拥有的合法中文搜索引擎)发出 HTTP 请求。该请求使用非常规的用户代理字符串,模仿 Windows 98 上的 Internet Explorer 来掩盖其来源。服务器的响应被保存到文件中,然后提取后门组件并将其加载到系统内存中。
作为初始化过程的一部分,NSPX30 建立一个被动 UDP 侦听套接字,旨在接收来自控制器的命令并促进数据泄露。这可能涉及拦截 DNS 查询数据包以匿名其命令和控制 (C2) 基础设施。
提供给后门的指令可以实现各种功能,包括创建反向 shell、收集文件信息、终止特定进程、捕获屏幕截图、记录击键,甚至从受感染的计算机上卸载自身。
