Китайский злоумышленник связан со шпионским ПО NSPX30

Ранее неизвестный злоумышленник, связанный с Китаем, был идентифицирован в серии атак «противник посередине» (AitM), в ходе которых законные запросы на обновление программного обеспечения используются для доставки усовершенствованного имплантата под названием NSPX30. Эксперты по кибербезопасности следят за этой группой продвинутых постоянных угроз (APT), называемой Blackwood, которая, как сообщается, действует как минимум с 2018 года.

Замечено, что имплантат NSPX30 распространяется через механизмы обновления известного программного обеспечения, такого как Tencent QQ, WPS Office и Sogou Pinyin. Целями этих атак являются китайские и японские производственные, торговые и инжиниринговые компании, а также частные лица в Китае, Японии и Великобритании.

Описанный как многоэтапный имплант, NSPX30 включает в себя различные компоненты, в том числе дроппер, установщик, загрузчики, оркестратор и бэкдор, причем последние два имеют свои собственные наборы плагинов. Конструкция имплантата сосредоточена на способности злоумышленников перехватывать пакеты, что позволяет операторам NSPX30 скрывать свою инфраструктуру.

Происхождение вредоносного ПО

Происхождение бэкдора можно проследить до вредоносного ПО под названием Project Wood, появившегося в январе 2005 года и созданного для сбора системной и сетевой информации, записи нажатий клавиш и создания снимков экрана с систем-жертв. Кодовая база Project Wood послужила основой для множества имплантатов, что привело к появлению таких вариантов, как DCM (также известный как Dark Spectre) в 2008 году. Это вредоносное ПО впоследствии использовалось в атаках, нацеленных на представляющих интерес лиц в Гонконге и регионе Большого Китая в 2012 и 2014 годах.

Последняя версия, NSPX30, реализуется посредством попыток загрузки обновлений программного обеспечения через (незашифрованный) протокол HTTP, что приводит к компрометации системы. Вредоносный дроппер, являющийся частью скомпрометированного процесса обновления, создает файлы на диске и запускает «RsStub.exe», двоичный файл, связанный с программным обеспечением Rising Antivirus. Это делается для запуска «comx3.dll» за счет уязвимости первого к боковой загрузке DLL.

«comx3.dll» служит загрузчиком для выполнения файла с именем «comx3.dll.txt», который действует как библиотека-установщик, активирующая следующий этап цепочки атаки. Эта цепочка завершается выполнением компонента оркестратора («WIN.cfg»). Метод доставки дроппера в виде вредоносных обновлений в настоящее время неизвестен, хотя в прошлом случаи с участием китайских злоумышленников, таких как BlackTech, Evasive Panda, Judgment Panda и Mustang Panda, использовали взломанные маршрутизаторы в качестве средства распространения вредоносного ПО.