NSPX30-Spyware
Es ist ein unbekannter Bedrohungsakteur im Zusammenhang mit China aufgetaucht, der an mehreren Adversary-in-the-Middle-Angriffen (AitM) beteiligt ist. Bei diesen Angriffen geht es darum, Aktualisierungsanfragen von legitimer Software zu kapern, mit der Absicht, ein hochentwickeltes Implantat namens NSPX30 auszuliefern. Forscher überwachen diese Advanced Persistent Threat (APT)-Gruppe und identifizieren sie als „Blackwood“. Die Ergebnisse deuten darauf hin, dass diese Cyberkriminalitätsgruppe seit mindestens 2018 aktiv ist.
Das NSPX30-Implantat wurde in Fällen entdeckt, in denen es über die Aktualisierungsmechanismen bekannter Software bereitgestellt wurde, darunter Tencent QQ, WPS Office und Sogou Pinyin. Die Ziele dieser Angriffe sind Unternehmen, die in China und Japan in den Bereichen Produktion, Handel und Maschinenbau tätig sind. Darüber hinaus waren auch Personen in China, Japan und Großbritannien von diesen AitM-Angriffen betroffen.
Inhaltsverzeichnis
Die NSPX30-Spyware ist eine Bedrohung aus mehreren Komponenten
NSPX30 stellt ein hochentwickeltes mehrstufiges Implantat dar, das verschiedene Komponenten umfasst, darunter einen Dropper, einen Installer, Loader, einen Orchestrator und eine Hintertür. Die Hintertür und der Orchestrator verfügen jeweils über unterschiedliche Plugin-Sätze. Die Architektur des Implantats wurde strategisch so konzipiert, dass sie Paketabfangfunktionen nutzt und es NSPX30-Betreibern ermöglicht, ihre Infrastruktur effektiv zu verbergen.
Die Ursprünge der Hintertür, die darüber hinaus die Möglichkeit bietet, mehrere chinesische Anti-Malware-Lösungen durch Selbstzulassungslisten zu umgehen, gehen auf eine frühere Malware namens Project Wood zurück, die im Januar 2005 eingeführt wurde. Project Wood wurde entwickelt, um Systeme zu erfassen und Netzwerkinformationen, erfassen Tastatureingaben und erstellen Screenshots von Opfersystemen.
Die Codebasis von Project Wood diente als Grundlage für verschiedene Implantate und führte 2008 zu Derivaten wie DCM (auch bekannt als Dark Spectre). Anschließend wurde diese Malware für gezielte Angriffe gegen bestimmte Personen in Hongkong und Umgebung eingesetzt Region China im Jahr 2012 und 2014.
Angriffskette für die Bereitstellung der NSPX30-Spyware
NSPX30 wird durch die Kompromittierung von Systemen eingeführt, die versuchen, Softwareupdates über das (unverschlüsselte) HTTP-Protokoll von legitimen Servern herunterzuladen. Dieser Kompromiss erleichtert die Bereitstellung einer Dropper-DLL-Datei.
Der schädliche Dropper, der während des kompromittierten Aktualisierungsprozesses initiiert wird, generiert mehrere Dateien auf der Festplatte und initiiert die Ausführung von „RsStub.exe“, einer Binärdatei, die mit Antivirensoftware verknüpft ist. Dieser Schritt nutzt die Anfälligkeit des ersteren für DLL-Sideloading aus und ermöglicht den Start von „comx3.dll“.
Anschließend fungiert „comx3.dll“ als Loader und führt eine dritte Datei namens „comx3.dll.txt“ aus. Diese Datei fungiert als Installationsbibliothek und löst die nächste Stufe der Angriffskette aus, die letztendlich zur Ausführung der Orchestrator-Komponente („WIN.cfg“) führt.
Die genaue Methode, mit der Bedrohungsakteure den Dropper in Form gefälschter Updates bereitstellen, ist weiterhin unbekannt. Historische Muster deuten jedoch darauf hin, dass chinesische Bedrohungsakteure wie BlackTech , Evasive Panda, Judgement Panda und Mustang Panda kompromittierte Router als Verbreitungskanal für Malware genutzt haben. Forscher gehen davon aus, dass die Angreifer möglicherweise ein Netzwerkimplantat in den Netzwerken der Opfer einsetzen und dabei möglicherweise anfällige Netzwerkgeräte wie Router oder Gateways ins Visier nehmen.
Die NSPX30-Spyware kann bestimmte Aktionen basierend auf C2-Befehlen ausführen
Der Orchestrator initiiert die Erstellung von zwei Threads: Einer widmet sich dem Erwerb der Hintertür ('msfmtkl.dat') und der andere konzentriert sich auf das Laden seiner Plugins und die Einbindung von Ausschlüssen, um die Umgehung chinesischer Anti-Malware-Lösungen durch die Loader-DLLs zu ermöglichen.
Um die Hintertür herunterzuladen, wird eine HTTP-Anfrage an www.baidu[.]com gestellt, die legitime chinesische Suchmaschine von Baidu. Die Anfrage verwendet eine unkonventionelle User-Agent-Zeichenfolge, die den Internet Explorer unter Windows 98 nachahmt, um ihren Ursprung zu verschleiern. Die Antwort des Servers wird in einer Datei gespeichert und die Backdoor-Komponente wird dann extrahiert und in den Systemspeicher geladen.
Als Teil seines Initialisierungsprozesses richtet NSPX30 einen passiven UDP-Listening-Socket ein, der Befehle vom Controller empfängt und die Datenexfiltration erleichtert. Dies beinhaltet wahrscheinlich das Abfangen von DNS-Abfragepaketen, um die Command-and-Control (C2)-Infrastruktur zu anonymisieren.
Die der Hintertür bereitgestellten Anweisungen ermöglichen verschiedene Funktionen, darunter die Erstellung einer Reverse-Shell, das Sammeln von Dateiinformationen, das Beenden bestimmter Prozesse, das Aufzeichnen von Screenshots, das Protokollieren von Tastenanschlägen und sogar die Deinstallation vom infizierten Computer.
