Ο κινεζικός ηθοποιός απειλών συνδέεται με το λογισμικό κατασκοπείας NSPX30

Ένας προηγουμένως άγνωστος παράγοντας απειλής με δεσμούς με την Κίνα εντοπίστηκε σε μια σειρά επιθέσεων αντιπάλου στη μέση (AitM), όπου αξιοποιούνται τα νόμιμα αιτήματα ενημέρωσης λογισμικού για την παράδοση ενός προηγμένου εμφυτεύματος που ονομάζεται NSPX30. Εμπειρογνώμονες στον τομέα της κυβερνοασφάλειας παρακολουθούν αυτήν την ομάδα προηγμένης επίμονης απειλής (APT), που αναφέρεται ως Blackwood, η οποία φέρεται να λειτουργεί τουλάχιστον από το 2018.

Το εμφύτευμα NSPX30 παρατηρείται να διανέμεται μέσω των μηχανισμών ενημέρωσης γνωστών λογισμικού όπως το Tencent QQ, το WPS Office και το Sogou Pinyin. Οι στόχοι αυτών των επιθέσεων περιλαμβάνουν κινεζικές και ιαπωνικές εταιρείες παραγωγής, εμπορίας και μηχανικής, καθώς και άτομα στην Κίνα, την Ιαπωνία και το Ηνωμένο Βασίλειο

Περιγραφόμενο ως εμφύτευμα πολλαπλών σταδίων, το NSPX30 περιλαμβάνει διάφορα εξαρτήματα, όπως σταγονόμετρο, πρόγραμμα εγκατάστασης, φορτωτές, ενορχηστρωτή και κερκόπορτα, με τα δύο τελευταία να έχουν τα δικά τους σύνολα προσθηκών. Ο σχεδιασμός του εμφυτεύματος επικεντρώνεται στην ικανότητα των εισβολέων να διεξάγουν υποκλοπή πακέτων, επιτρέποντας στους χειριστές NSPX30 να κρύβουν την υποδομή τους.

Προέλευση του κακόβουλου λογισμικού

Η προέλευση του backdoor μπορεί να εντοπιστεί σε ένα κακόβουλο λογισμικό που ονομάζεται Project Wood από τον Ιανουάριο του 2005, το οποίο δημιουργήθηκε για τη συλλογή πληροφοριών συστήματος και δικτύου, την εγγραφή πληκτρολογήσεων και τη λήψη στιγμιότυπων οθόνης από συστήματα θυμάτων. Η βάση κώδικα του Project Wood χρησίμευσε ως βάση για πολλαπλά εμφυτεύματα, δημιουργώντας παραλλαγές όπως το DCM (γνωστός και ως Dark Specter) το 2008. Αυτό το κακόβουλο λογισμικό χρησιμοποιήθηκε στη συνέχεια σε επιθέσεις που στόχευαν άτομα ενδιαφέροντος στο Χονγκ Κονγκ και στην περιοχή της Ευρύτερης Κίνας το 2012 και το 2014.

Η πιο πρόσφατη επανάληψη, το NSPX30, παρέχεται μέσω προσπαθειών λήψης ενημερώσεων λογισμικού μέσω του (μη κρυπτογραφημένου) πρωτοκόλλου HTTP, με αποτέλεσμα ένα παραβιασμένο σύστημα. Ένα κακόβουλο dropper, μέρος της παραβιασμένης διαδικασίας ενημέρωσης, δημιουργεί αρχεία στο δίσκο και εκτελεί το "RsStub.exe", ένα δυαδικό αρχείο που σχετίζεται με το λογισμικό προστασίας από ιούς Rising. Αυτό γίνεται για την εκκίνηση του "comx3.dll" εκμεταλλευόμενη την ευαισθησία του πρώτου σε πλευρική φόρτωση DLL.

Το "comx3.dll" χρησιμεύει ως φορτωτής για την εκτέλεση ενός αρχείου με το όνομα "comx3.dll.txt", το οποίο λειτουργεί ως βιβλιοθήκη προγράμματος εγκατάστασης που ενεργοποιεί το επόμενο στάδιο της αλυσίδας επίθεσης. Αυτή η αλυσίδα κορυφώνεται με την εκτέλεση του στοιχείου ενορχηστρωτή ("WIN.cfg"). Η μέθοδος παράδοσης του dropper με τη μορφή κακόβουλων ενημερώσεων είναι προς το παρόν άγνωστη, αν και προηγούμενες περιπτώσεις που αφορούσαν κινέζους παράγοντες απειλών, όπως οι BlackTech, Evasive Panda, Judgment Panda και Mustang Panda, έχουν χρησιμοποιήσει παραβιασμένους δρομολογητές ως μέσο διανομής κακόβουλου λογισμικού.