Kinesisk trusselskuespiller knyttet til NSPX30-spionvare
En tidligere ukjent trusselaktør med bånd til Kina har blitt identifisert i en serie motstander-i-midten-angrep (AitM), der legitime forespørsler om programvareoppdatering utnyttes til å levere et avansert implantat kalt NSPX30. Eksperter på nettsikkerhet overvåker denne avanserte vedvarende trusselgruppen (APT), referert til som Blackwood, som angivelig har vært operativ siden minst 2018.
NSPX30-implantatet blir observert distribuert gjennom oppdateringsmekanismene til velkjent programvare som Tencent QQ, WPS Office og Sogou Pinyin. Målene for disse angrepene inkluderer kinesiske og japanske produksjons-, handels- og ingeniørselskaper, samt enkeltpersoner i Kina, Japan og Storbritannia
Beskrevet som et flertrinnsimplantat, består NSPX30 av forskjellige komponenter, inkludert en dropper, installatør, lastere, orkestrator og bakdør, der de to sistnevnte har sine egne sett med plugins. Implantatets design er sentrert rundt angripernes evne til å utføre pakkeavskjæring, slik at NSPX30-operatører kan skjule sin infrastruktur.
Opprinnelsen til skadelig programvare
Bakdørens opprinnelse kan spores tilbake til en skadelig programvare kalt Project Wood fra januar 2005, som ble opprettet for å samle system- og nettverksinformasjon, registrere tastetrykk og ta skjermbilder fra offersystemer. Project Woods kodebase fungerte som grunnlaget for flere implantater, og ga opphav til varianter som DCM (aka Dark Spectre) i 2008. Denne skadevare ble deretter brukt i angrep rettet mot enkeltpersoner av interesse i Hong Kong og Stor-Kina-området i 2012 og 2014.
Den siste iterasjonen, NSPX30, leveres gjennom forsøk på å laste ned programvareoppdateringer via den (ukrypterte) HTTP-protokollen, noe som resulterer i et kompromittert system. En ondsinnet dropper, en del av den kompromitterte oppdateringsprosessen, lager filer på disk og kjører "RsStub.exe", en binærfil assosiert med Rising Antivirus-programvare. Dette gjøres for å starte "comx3.dll" ved å utnytte følsomheten til førstnevnte for DLL-sidelasting.
"comx3.dll" fungerer som en loader for å kjøre en fil kalt "comx3.dll.txt," som fungerer som et installasjonsbibliotek som aktiverer neste trinn i angrepskjeden. Denne kjeden kulminerer i utførelsen av orkestratorkomponenten ("WIN.cfg"). Metoden for å levere dropperen i form av ondsinnede oppdateringer er foreløpig ukjent, selv om tidligere tilfeller som involverte kinesiske trusselaktører, som BlackTech, Evasive Panda, Judgment Panda og Mustang Panda, har brukt kompromitterte rutere som et middel til å distribuere skadelig programvare.
