Chinesischer Bedrohungsakteur im Zusammenhang mit NSPX30-Spyware

Ein bisher unbekannter Bedrohungsakteur mit Verbindungen zu China wurde in einer Reihe von Adversary-in-the-Middle-Angriffen (AitM) identifiziert, bei denen legitime Software-Update-Anfragen ausgenutzt werden, um ein fortschrittliches Implantat namens NSPX30 bereitzustellen. Cybersicherheitsexperten überwachen diese Advanced Persistent Threat (APT)-Gruppe namens Blackwood, die Berichten zufolge seit mindestens 2018 aktiv ist.

Es wird beobachtet, dass das NSPX30-Implantat über die Aktualisierungsmechanismen bekannter Software wie Tencent QQ, WPS Office und Sogou Pinyin verbreitet wird. Zu den Zielen dieser Angriffe zählen chinesische und japanische Produktions-, Handels- und Maschinenbauunternehmen sowie Einzelpersonen in China, Japan und Großbritannien

NSPX30 wird als mehrstufiges Implantat beschrieben und besteht aus verschiedenen Komponenten, darunter einem Dropper, einem Installer, Loadern, einem Orchestrator und einer Backdoor, wobei die beiden letzteren über eigene Plugin-Sets verfügen. Das Design des Implantats konzentriert sich auf die Fähigkeit der Angreifer, Pakete abzufangen, sodass NSPX30-Betreiber ihre Infrastruktur verbergen können.

Ursprünge der Malware

Die Ursprünge der Hintertür lassen sich auf eine Malware namens Project Wood aus dem Januar 2005 zurückführen, die entwickelt wurde, um System- und Netzwerkinformationen zu sammeln, Tastenanschläge aufzuzeichnen und Screenshots von Opfersystemen zu erfassen. Die Codebasis von Project Wood diente als Grundlage für mehrere Implantationen und führte 2008 zu Varianten wie DCM (auch bekannt als Dark Spectre). Diese Malware wurde anschließend in den Jahren 2012 und 2014 bei Angriffen auf bestimmte Personen in Hongkong und im Großraum China eingesetzt.

Die neueste Version, NSPX30, wird durch Versuche bereitgestellt, Software-Updates über das (unverschlüsselte) HTTP-Protokoll herunterzuladen, was zu einem kompromittierten System führt. Ein bösartiger Dropper, der Teil des kompromittierten Aktualisierungsprozesses ist, erstellt Dateien auf der Festplatte und führt „RsStub.exe“ aus, eine Binärdatei, die mit der Rising Antivirus-Software verknüpft ist. Dies geschieht, um „comx3.dll“ zu starten, indem die Anfälligkeit ersterer für DLL-Seitenladen ausgenutzt wird.

„comx3.dll“ dient als Loader zum Ausführen einer Datei namens „comx3.dll.txt“, die als Installationsbibliothek fungiert und die nächste Stufe der Angriffskette aktiviert. Diese Kette gipfelt in der Ausführung der Orchestrator-Komponente („WIN.cfg“). Die Methode zur Bereitstellung des Droppers in Form von bösartigen Updates ist derzeit unbekannt, obwohl chinesische Bedrohungsakteure wie BlackTech, Evasive Panda, Judgement Panda und Mustang Panda in der Vergangenheit kompromittierte Router als Mittel zur Verbreitung von Malware genutzt haben.