中國威脅行為者與 NSPX30 間諜軟體有關
在一系列中間對手 (AitM) 攻擊中發現了一個與中國有聯繫的先前未知的威脅行為者,這些攻擊利用合法的軟體更新請求來發送名為 NSPX30 的高級植入程式。網路安全專家正在監控這個被稱為 Blackwood 的高級持續威脅 (APT) 組織,據報道該組織至少自 2018 年以來一直在運作。
據觀察,NSPX30 植入程式透過騰訊 QQ、WPS Office 和搜狗拼音等知名軟體的更新機制進行分發。這些攻擊的目標包括中國和日本的製造、貿易和工程公司,以及中國、日本和英國的個人
NSPX30 被描述為多級植入,包含各種組件,包括植入程式、安裝程式、載入程式、協調器和後門,後兩者有自己的插件集。此植入程式的設計以攻擊者進行封包攔截的能力為中心,允許 NSPX30 營運商隱藏其基礎設施。
惡意軟體的起源
後門的起源可以追溯到 2005 年 1 月名為 Project Wood 的惡意軟體,該惡意軟體的創建目的是收集系統和網路資訊、記錄擊鍵並捕獲受害者係統的螢幕截圖。 Project Wood 的程式碼庫是多種植入的基礎,在 2008 年引發了 DCM(又名 Dark Spectre)等變種。該惡意軟體隨後在 2012 年和 2014 年針對香港和大中華地區的相關個人發起了攻擊。
最新版本 NSPX30 是透過嘗試透過(未加密的)HTTP 協定下載軟體更新來提供的,從而導致系統受到損害。惡意植入程式是受感染更新過程的一部分,它會在磁碟上建立檔案並執行“RsStub.exe”,這是與瑞星防毒軟體相關的二進位檔案。這樣做是為了利用“comx3.dll”對 DLL 側載的敏感度來啟動“comx3.dll”。
「comx3.dll」充當執行名為「comx3.dll.txt」的檔案的載入程序,該檔案充當啟動攻擊鏈下一階段的安裝程式庫。此鏈最終導致協調器元件(“WIN.cfg”)的執行。儘管過去涉及中國威脅行為者(例如 BlackTech、Evasive Panda、Judgment Panda 和 Mustang Panda)已利用受感染的路由器作為分發惡意軟體的手段,但以惡意更新的形式傳遞植入程式的方法目前尚不清楚。