Kinijos grėsmių veikėjas, susijęs su NSPX30 šnipinėjimo programomis

Anksčiau nežinomas grėsmės veikėjas, susijęs su Kinija, buvo nustatytas per daugybę priešo viduryje (AitM) atakų, kai teisėtos programinės įrangos atnaujinimo užklausos buvo naudojamos pažangiam implantui, pavadintam NSPX30, pristatyti. Kibernetinio saugumo ekspertai stebi šią pažangią nuolatinės grėsmės (APT) grupę, vadinamą Blackwood, kuri, kaip pranešama, veikia mažiausiai nuo 2018 m.

Pastebėta, kad NSPX30 implantas platinamas naudojant gerai žinomos programinės įrangos, tokios kaip Tencent QQ, WPS Office ir Sogou Pinyin, atnaujinimo mechanizmus. Šių atakų taikiniai yra Kinijos ir Japonijos gamybos, prekybos ir inžinerijos įmonės, taip pat asmenys Kinijoje, Japonijoje ir JK.

Apibūdinamas kaip daugiapakopis implantas, NSPX30 susideda iš įvairių komponentų, įskaitant lašintuvą, montuotoją, kroviklius, orkestrantą ir užpakalines duris, o pastarieji du turi savo papildinių rinkinius. Implanto dizainas sutelktas į užpuolikų gebėjimą perimti paketus, todėl NSPX30 operatoriai gali nuslėpti savo infrastruktūrą.

Kenkėjiškų programų kilmė

Užpakalinių durų ištakas galima atsekti nuo 2005 m. sausio mėn. kenkėjiškos programos, pavadintos Project Wood, kuri buvo sukurta siekiant rinkti sistemos ir tinklo informaciją, įrašyti klavišų paspaudimus ir užfiksuoti ekrano kopijas iš aukų sistemų. „Project Wood“ kodų bazė buvo daugelio implantų pagrindas, todėl 2008 m. atsirado tokių variantų kaip DCM (dar žinomas kaip „Dark Spectre“). Vėliau ši kenkėjiška programa buvo panaudota atakoms, nukreiptoms į dominančius asmenis Honkonge ir Didžiosios Kinijos regione 2012 ir 2014 m.

Naujausia iteracija, NSPX30, pristatoma bandant atsisiųsti programinės įrangos naujinimus naudojant (nešifruotą) HTTP protokolą, todėl sistema yra pažeista. Kenkėjiškas lašintuvas, kuris yra pažeisto atnaujinimo proceso dalis, sukuria failus diske ir vykdo „RsStub.exe“ – dvejetainį failą, susietą su „Rising Antivirus“ programine įranga. Tai daroma norint paleisti „comx3.dll“, išnaudojant pirmojo jautrumą DLL šoniniam įkėlimui.

„comx3.dll“ yra įkroviklis, skirtas vykdyti failą pavadinimu „comx3.dll.txt“, kuris veikia kaip diegimo programos biblioteka, suaktyvinanti kitą atakos grandinės etapą. Ši grandinė baigiasi orkestro komponento („WIN.cfg“) vykdymu. Šiuo metu nežinoma, kaip kenkėjiškų naujinimų pavidalu galima pateikti lašintuvą, nors ankstesni atvejai, kuriuose dalyvavo Kinijos grėsmės veikėjai, tokie kaip BlackTech, Evasive Panda, Judgment Panda ir Mustang Panda, naudojo pažeistus maršrutizatorius kaip priemonę kenkėjiškoms programoms platinti.