Actor de amenazas chino vinculado al software espía NSPX30

Un actor de amenazas previamente desconocido con vínculos con China ha sido identificado en una serie de ataques de adversario en el medio (AitM), en los que se explotan solicitudes legítimas de actualización de software para entregar un implante avanzado llamado NSPX30. Los expertos en ciberseguridad están monitoreando este grupo de amenazas persistentes avanzadas (APT), conocido como Blackwood, que supuestamente ha estado operativo desde al menos 2018.

Se observa que el implante NSPX30 se distribuye a través de mecanismos de actualización de software conocido como Tencent QQ, WPS Office y Sogou Pinyin. Los objetivos de estos ataques incluyen empresas manufactureras, comerciales y de ingeniería chinas y japonesas, así como individuos en China, Japón y el Reino Unido.

Descrito como un implante de varias etapas, NSPX30 consta de varios componentes, incluido un gotero, un instalador, un cargador, un orquestador y una puerta trasera; los dos últimos tienen sus propios conjuntos de complementos. El diseño del implante se centra en la capacidad de los atacantes para interceptar paquetes, lo que permite a los operadores NSPX30 ocultar su infraestructura.

Orígenes del malware

Los orígenes de la puerta trasera se remontan a un malware llamado Proyecto Wood de enero de 2005, que fue creado para recopilar información del sistema y de la red, registrar pulsaciones de teclas y capturar capturas de pantalla de los sistemas víctimas. El código base del Proyecto Wood sirvió como base para múltiples implantes, dando lugar a variantes como DCM (también conocido como Dark Spectre) en 2008. Este malware se empleó posteriormente en ataques dirigidos a personas de interés en Hong Kong y el área de la Gran China en 2012 y 2014.

La última versión, NSPX30, se entrega mediante intentos de descargar actualizaciones de software a través del protocolo HTTP (sin cifrar), lo que resulta en un sistema comprometido. Un dropper malicioso, parte del proceso de actualización comprometido, crea archivos en el disco y ejecuta "RsStub.exe", un binario asociado con el software Rising Antivirus. Esto se hace para iniciar "comx3.dll" aprovechando la susceptibilidad del primero a la carga lateral de DLL.

"comx3.dll" sirve como cargador para ejecutar un archivo llamado "comx3.dll.txt", que funciona como una biblioteca de instalación que activa la siguiente etapa de la cadena de ataque. Esta cadena culmina con la ejecución del componente orquestador ("WIN.cfg"). Actualmente se desconoce el método para entregar el gotero en forma de actualizaciones maliciosas, aunque en casos anteriores que involucraron a actores de amenazas chinos, como BlackTech, Evasive Panda, Judgement Panda y Mustang Panda, han utilizado enrutadores comprometidos como medio para distribuir malware.

En Zaib
January 26, 2024
Malware
Spanish
January 26, 2024
Malware

Entradas populares

Microsoft advierte que los actores de amenazas respaldados por...

Hace 5 days

Troyano Al11 Detección de malware

Hace 11 months

Ventanas emergentes "Tu iCloud está siendo pirateado" y "Tu...

Hace 7 months

Pinaview es una aplicación de adware con todas las funciones

Hace 10 months

¿Qué es Lucky Ransomware?

Hace 7 months

Estafa por correo electrónico 'American Express - Actualice la...

Hace 6 months
Spanish
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.