Chiński podmiot zagrażający powiązany z oprogramowaniem szpiegującym NSPX30
Nieznany wcześniej podmiot zagrażający powiązany z Chinami został zidentyfikowany w serii ataków typu adversary-in-the-middle (AitM), podczas których wykorzystywane są uzasadnione żądania aktualizacji oprogramowania w celu dostarczenia zaawansowanego implantu o nazwie NSPX30. Eksperci ds. cyberbezpieczeństwa monitorują tę grupę zaawansowanych trwałych zagrożeń (APT), zwaną Blackwood, która według doniesień działa co najmniej od 2018 r.
Zaobserwowano, że implant NSPX30 jest dystrybuowany za pośrednictwem mechanizmów aktualizacji dobrze znanego oprogramowania, takiego jak Tencent QQ, WPS Office i Sogou Pinyin. Celem tych ataków są chińskie i japońskie firmy produkcyjne, handlowe i inżynieryjne, a także osoby fizyczne w Chinach, Japonii i Wielkiej Brytanii
Opisywany jako implant wieloetapowy, NSPX30 składa się z różnych komponentów, w tym droppera, instalatora, programów ładujących, orkiestratora i backdoora, przy czym dwa ostatnie mają własne zestawy wtyczek. Konstrukcja implantu skupia się na zdolności atakujących do przechwytywania pakietów, umożliwiając operatorom NSPX30 ukrycie swojej infrastruktury.
Pochodzenie złośliwego oprogramowania
Początki backdoora sięgają szkodliwego oprogramowania o nazwie Project Wood ze stycznia 2005 roku, które utworzono w celu gromadzenia informacji o systemie i sieci, rejestrowania naciśnięć klawiszy i przechwytywania zrzutów ekranu z systemów ofiar. Baza kodowa Project Wood posłużyła jako podstawa dla wielu implantów, co dało początek wariantom takim jak DCM (znany również jako Dark Spectre) w 2008 roku. Szkodnik ten został następnie wykorzystany w atakach na zainteresowane osoby w Hongkongu i obszarze Wielkich Chin w latach 2012 i 2014.
Najnowsza wersja, NSPX30, jest dostarczana poprzez próby pobrania aktualizacji oprogramowania za pośrednictwem (nieszyfrowanego) protokołu HTTP, co skutkuje naruszeniem bezpieczeństwa systemu. Złośliwy dropper, będący częścią zaatakowanego procesu aktualizacji, tworzy pliki na dysku i uruchamia „RsStub.exe” – plik binarny powiązany z oprogramowaniem Rising Antivirus. Ma to na celu uruchomienie „comx3.dll” poprzez wykorzystanie podatności tego pierwszego na boczne ładowanie bibliotek DLL.
„comx3.dll” służy jako moduł ładujący do wykonywania pliku o nazwie „comx3.dll.txt”, który działa jako biblioteka instalacyjna aktywująca kolejny etap łańcucha ataków. Łańcuch ten kończy się wykonaniem komponentu programu Orchestrator („WIN.cfg”). Metoda dostarczania droppera w postaci złośliwych aktualizacji jest obecnie nieznana, chociaż w przeszłości przypadki z udziałem chińskich cyberprzestępców, takich jak BlackTech, Evasive Panda, Judgment Panda i Mustang Panda, wykorzystywały przejęte routery jako środek do dystrybucji złośliwego oprogramowania.