NSPX30 間諜軟體
一個與中國有關的身份不明的威脅行為者已經出現,參與了多次中間對手 (AitM) 攻擊。這些攻擊涉及劫持來自合法軟體的更新請求,目的是提供名為 NSPX30 的複雜植入程式。研究人員正在監視這個高級持續性威脅 (APT) 組織,並將其識別為「Blackwood」。調查結果表明,該網路犯罪集團至少自 2018 年以來就一直在運作。
NSPX30植入物已在透過騰訊QQ、WPS Office、搜狗拼音等知名軟體的更新機制部署的實例中被檢測到。這些攻擊的目標是在中國和日本從事製造、貿易和工程的公司。此外,中國、日本和英國的個人也受到了這些 AitM 攻擊的影響。
目錄
NSPX30 間諜軟體是一種多組件威脅
NSPX30 代表一個複雜的多層植入程序,由各種組件組成,包括釋放器、安裝程序、載入程序、協調器和後門。後門和編排器各自擁有不同的插件集。此植入物的架構經過策略性設計,旨在利用資料包攔截功能,使 NSPX30 操作員能夠有效隱藏其基礎設施。
該後門具有透過自我允許列表規避多種中國反惡意軟體解決方案的附加功能,其起源可以追溯到 2005 年 1 月推出的名為 Project Wood 的早期惡意軟體。Project Wood 旨在收集系統資訊和網路信息、捕捉擊鍵並對受害者係統進行螢幕截圖。
Project Wood 的程式碼庫已成為各種植入程式的基礎,並在2008 年催生了DCM(也稱為Dark Spectre)等衍生性商品。隨後,該惡意軟體被用於針對香港和大中華區感興趣的個人的有針對性的攻擊2012年和2014年中國地區。
NSPX30 間諜軟體部署的攻擊鏈
NSPX30 是透過嘗試透過(未加密的)HTTP 協定從合法伺服器下載軟體更新的系統受到攻擊而引入的。這種妥協有利於 dropper DLL 檔案的部署。
這個有害的植入程式是在受感染的更新過程中啟動的,它會在磁碟上產生多個文件,並啟動「RsStub.exe」的執行,這是一個與防毒軟體相關的二進位檔案。此步驟利用了前者的 DLL 側邊載入漏洞,從而啟動「comx3.dll」。
隨後,「comx3.dll」充當載入程序,執行名為「comx3.dll.txt」的第三個檔案。該檔案充當安裝程式庫,觸發攻擊鏈的下一階段,最終導致協調器元件(“WIN.cfg”)的執行。
威脅行為者以虛假更新的形式傳遞植入程序的具體方法仍然未知。然而,歷史模式表明, BlackTech 、Evasive Panda、Judgment Panda 和 Mustang Panda 等中國威脅行為者已利用受感染的路由器作為惡意軟體的分發管道。研究人員認為,攻擊者有可能在受害者的網路中部署網路植入程序,可能針對路由器或網關等易受攻擊的網路設備。
NSPX30間諜軟體可以依照C2指令執行特定操作
協調器啟動兩個執行緒的創建:一個專門用於獲取後門(“msfmtkl.dat”),另一個專注於加載其插件並合併排除項,以便透過載入器 DLL 繞過中國反惡意軟體解決方案。
要下載後門,需要向 www.baidu[.]com(百度擁有的合法中文搜尋引擎)發出 HTTP 請求。該請求使用非常規的用戶代理字串,模仿 Windows 98 上的 Internet Explorer 來掩蓋其來源。伺服器的回應被儲存到檔案中,然後提取後門元件並將其載入到系統記憶體中。
作為初始化過程的一部分,NSPX30 建立一個被動 UDP 偵聽套接字,旨在接收來自控制器的命令並促進資料外洩。這可能涉及攔截 DNS 查詢資料包以匿名其命令和控制 (C2) 基礎架構。
提供給後門的指令可以實現各種功能,包括創建反向 shell、收集文件資訊、終止特定進程、捕獲螢幕截圖、記錄擊鍵,甚至從受感染的電腦上卸載自身。
