中国の攻撃者が NSPX30 スパイウェアに関与
中国と関係のあるこれまで知られていなかった攻撃者が、一連の中間者攻撃 (AitM) 攻撃で特定されました。この攻撃では、正規のソフトウェア更新リクエストが悪用され、NSPX30 という名前の高度なインプラントが配信されます。サイバーセキュリティの専門家は、Blackwood と呼ばれるこの高度持続的脅威 (APT) グループを監視しており、少なくとも 2018 年から活動していると伝えられています。
NSPX30 インプラントは、Tencent QQ、WPS Office、Sogou Pinyin などの有名なソフトウェアの更新メカニズムを通じて配布されていることが観察されています。これらの攻撃の標的には、中国と日本の製造業、商社、エンジニアリング会社のほか、中国、日本、英国の個人も含まれます。
多段階インプラントとして説明される NSPX30 は、ドロッパー、インストーラー、ローダー、オーケストレーター、バックドアを含むさまざまなコンポーネントで構成されており、後者の 2 つは独自のプラグイン セットを持っています。インプラントの設計は、攻撃者がパケット傍受を行う能力を中心に設計されており、NSPX30 オペレーターがインフラストラクチャを隠蔽できるようになります。
マルウェアの起源
バックドアの起源は、2005 年 1 月の Project Wood という名前のマルウェアにまで遡ることができます。このマルウェアは、システムとネットワークの情報を収集し、キーストロークを記録し、被害者システムからスクリーンショットをキャプチャするために作成されました。 Project Wood のコードベースは複数のインプラントの基盤として機能し、2008 年に DCM (別名 Dark Spectre) のような亜種を生み出しました。このマルウェアはその後、2012 年と 2014 年に香港と中華圏の要注意人物を標的とした攻撃に使用されました。
最新の NSPX30 は、(暗号化されていない) HTTP プロトコル経由でソフトウェア アップデートをダウンロードしようとすることで配信され、その結果、システムが侵害されます。侵害された更新プロセスの一部である悪意のあるドロッパーは、ディスク上にファイルを作成し、Rising Antivirus ソフトウェアに関連付けられたバイナリ「RsStub.exe」を実行します。これは、DLL サイドローディングに対する「comx3.dll」の脆弱性を利用して、「comx3.dll」を起動するために行われます。
「comx3.dll」は、「comx3.dll.txt」という名前のファイルを実行するためのローダーとして機能し、攻撃チェーンの次の段階をアクティブにするインストーラー ライブラリとして機能します。このチェーンは、オーケストレーター コンポーネント (「WIN.cfg」) の実行で最高潮に達します。悪意のあるアップデートの形でドロッパーを配信する方法は現時点では不明ですが、BlackTech、Evasive Panda、Judgement Panda、Mustang Panda などの中国の脅威アクターが関与した過去の例では、侵害されたルーターがマルウェアを配布する手段として利用されていました。