Kinesisk trusselskuespiller knyttet til NSPX30-spyware
En hidtil ukendt trusselsaktør med tilknytning til Kina er blevet identificeret i en række modstander-in-the-middle-angreb (AitM), hvor legitime anmodninger om softwareopdateringer udnyttes til at levere et avanceret implantat ved navn NSPX30. Cybersikkerhedseksperter overvåger denne avancerede vedvarende trussel (APT) gruppe, kaldet Blackwood, som efter sigende har været operationel siden mindst 2018.
NSPX30-implantatet er observeret ved at blive distribueret gennem opdateringsmekanismerne i velkendt software såsom Tencent QQ, WPS Office og Sogou Pinyin. Målene for disse angreb omfatter kinesiske og japanske fremstillings-, handels- og ingeniørvirksomheder samt enkeltpersoner i Kina, Japan og Storbritannien
NSPX30, der beskrives som et flertrinsimplantat, består af forskellige komponenter, herunder en dropper, installatør, loaders, orkestrator og bagdør, hvor de to sidstnævnte har deres egne sæt plugins. Implantatets design er centreret omkring angribernes evne til at udføre pakkeaflytning, hvilket giver NSPX30-operatører mulighed for at skjule deres infrastruktur.
Malwares oprindelse
Bagdørens oprindelse kan spores tilbage til en malware ved navn Project Wood fra januar 2005, som blev skabt for at indsamle system- og netværksoplysninger, optage tastetryk og fange skærmbilleder fra offersystemer. Project Woods kodebase fungerede som grundlaget for flere implantater, hvilket gav anledning til varianter som DCM (alias Dark Spectre) i 2008. Denne malware blev efterfølgende brugt i angreb rettet mod enkeltpersoner af interesse i Hong Kong og Greater China-området i 2012 og 2014.
Den seneste iteration, NSPX30, leveres gennem forsøg på at downloade softwareopdateringer via den (ukrypterede) HTTP-protokol, hvilket resulterer i et kompromitteret system. En ondsindet dropper, en del af den kompromitterede opdateringsproces, opretter filer på disken og udfører "RsStub.exe", en binær associeret med Rising Antivirus-software. Dette gøres for at starte "comx3.dll" ved at udnytte førstnævntes modtagelighed for DLL-sideindlæsning.
"comx3.dll" fungerer som en indlæser til at udføre en fil med navnet "comx3.dll.txt", der fungerer som et installationsbibliotek, der aktiverer næste trin i angrebskæden. Denne kæde kulminerer i udførelsen af orkestratorkomponenten ("WIN.cfg"). Metoden til at levere dropperen i form af ondsindede opdateringer er i øjeblikket ukendt, selvom tidligere tilfælde, der involverer kinesiske trusselsaktører, såsom BlackTech, Evasive Panda, Judgment Panda og Mustang Panda, har brugt kompromitterede routere som et middel til at distribuere malware.
