Kínai fenyegetőző szereplő, amely az NSPX30 kémprogramhoz kapcsolódik

Korábban ismeretlen, Kínához kötődő fenyegetés szereplőt azonosítottak egy sor AitM-támadás során, ahol a jogos szoftverfrissítési kéréseket kihasználva egy NSPX30 nevű fejlett implantátumot szállítanak ki. A kiberbiztonsági szakértők figyelemmel kísérik ezt a Blackwood néven emlegetett fejlett tartós fenyegetést (APT), amely állítólag legalább 2018 óta működik.

Megfigyelhető, hogy az NSPX30 implantátumot olyan jól ismert szoftverek frissítési mechanizmusain keresztül terjesztik, mint a Tencent QQ, a WPS Office és a Sogou Pinyin. A támadások célpontjai kínai és japán gyártó, kereskedelmi és mérnöki cégek, valamint magánszemélyek Kínában, Japánban és az Egyesült Királyságban

A többlépcsős implantátumként leírt NSPX30 különféle összetevőket tartalmaz, köztük cseppentőt, telepítőt, rakodókat, hangszerelőt és hátsó ajtót, az utóbbi kettőnek pedig saját beépülő modulja van. Az implantátum kialakításának középpontjában a támadók csomagelfogási képessége áll, így az NSPX30 kezelői elrejthetik infrastruktúrájukat.

A rosszindulatú programok eredete

A hátsó ajtó eredete egy 2005. januári Project Wood nevű malware-re vezethető vissza, amelyet rendszer- és hálózati információk összegyűjtésére, billentyűleütések rögzítésére és képernyőképek rögzítésére hoztak létre az áldozat rendszerekről. A Project Wood kódbázisa több implantátum alapjául szolgált, így 2008-ban olyan változatok születtek, mint a DCM (más néven Dark Specter). Ezt a rosszindulatú programot ezt követően 2012-ben és 2014-ben használták Hongkongban és Nagy-Kína térségében érdeklődő személyeket célzó támadásokban.

A legújabb iteráció, az NSPX30 a szoftverfrissítések (titkosítatlan) HTTP protokollon keresztüli letöltésén keresztül érhető el, ami kompromittálódott rendszerhez vezet. A feltört frissítési folyamat részét képező rosszindulatú dropper fájlokat hoz létre a lemezen, és végrehajtja az „RsStub.exe” nevű bináris fájlt, amely a Rising Antivirus szoftverhez kapcsolódik. Ez a "comx3.dll" elindításához történik, kihasználva az előbbi DLL oldalbetöltésre való érzékenységét.

A "comx3.dll" betöltőként szolgál a "comx3.dll.txt" fájl végrehajtásához, amely telepítőkönyvtárként működik, aktiválva a támadási lánc következő szakaszát. Ez a lánc az orchestrator komponens ("WIN.cfg") végrehajtásában csúcsosodik ki. A dropper rosszindulatú frissítések formájában történő kézbesítésének módja jelenleg nem ismert, bár a múltban olyan kínai fenyegető szereplők bevonásával, mint a BlackTech, az Evasive Panda, a Judgment Panda és a Mustang Panda, feltört útválasztókat használtak rosszindulatú programok terjesztésére.