Attore minaccioso cinese collegato allo spyware NSPX30
Un attore di minacce precedentemente sconosciuto con legami con la Cina è stato identificato in una serie di attacchi AitM (Adversary-in-the-middle), in cui le richieste legittime di aggiornamento software vengono sfruttate per fornire un impianto avanzato denominato NSPX30. Gli esperti di sicurezza informatica stanno monitorando questo gruppo Advanced Persistent Threat (APT), denominato Blackwood, che secondo quanto riferito è operativo almeno dal 2018.
Si osserva che l'impianto NSPX30 viene distribuito attraverso i meccanismi di aggiornamento di software noti come Tencent QQ, WPS Office e Sogou Pinyin. Gli obiettivi di questi attacchi includono aziende manifatturiere, commerciali e di ingegneria cinesi e giapponesi, nonché privati in Cina, Giappone e Regno Unito
Descritto come un impianto multistadio, NSPX30 comprende vari componenti, tra cui un contagocce, un programma di installazione, caricatori, orchestratore e backdoor, con gli ultimi due dotati dei propri set di plug-in. Il design dell'impianto è incentrato sulla capacità degli aggressori di intercettare i pacchetti, consentendo agli operatori NSPX30 di nascondere la propria infrastruttura.
Origini del malware
Le origini della backdoor possono essere ricondotte a un malware denominato Project Wood del gennaio 2005, creato per raccogliere informazioni sul sistema e sulla rete, registrare i tasti premuti e acquisire screenshot dai sistemi delle vittime. Il codice base del Project Wood è servito come base per molteplici impianti, dando origine a varianti come DCM (noto anche come Dark Spectre) nel 2008. Questo malware è stato successivamente utilizzato in attacchi contro individui di interesse a Hong Kong e nell'area della Grande Cina nel 2012 e nel 2014.
L'ultima iterazione, NSPX30, viene fornita attraverso tentativi di scaricare aggiornamenti software tramite il protocollo HTTP (non crittografato), risultando in un sistema compromesso. Un dropper dannoso, parte del processo di aggiornamento compromesso, crea file su disco ed esegue "RsStub.exe", un file binario associato al software Rising Antivirus. Questo viene fatto per lanciare "comx3.dll" sfruttando la suscettibilità del primo al caricamento laterale delle DLL.
"comx3.dll" funge da caricatore per l'esecuzione di un file denominato "comx3.dll.txt", che funziona come una libreria di installazione che attiva la fase successiva della catena di attacco. Questa catena culmina con l'esecuzione del componente orchestratore ("WIN.cfg"). Il metodo per distribuire il dropper sotto forma di aggiornamenti dannosi è attualmente sconosciuto, anche se in passato casi che hanno coinvolto autori di minacce cinesi, come BlackTech, Evasive Panda, Judgment Panda e Mustang Panda, hanno utilizzato router compromessi come mezzo per distribuire malware.
