中國威脅行為者與 NSPX30 間諜軟體有關

在一系列中間對手 (AitM) 攻擊中發現了一個與中國有聯繫的先前未知的威脅行為者，這些攻擊利用合法的軟體更新請求來發送名為 NSPX30 的高級植入程式。網路安全專家正在監控這個被稱為 Blackwood 的高級持續威脅 (APT) 組織，據報道該組織至少自 2018 年以來一直在運作。

據觀察，NSPX30 植入程式透過騰訊 QQ、WPS Office 和搜狗拼音等知名軟體的更新機制進行分發。這些攻擊的目標包括中國和日本的製造、貿易和工程公司，以及中國、日本和英國的個人

NSPX30 被描述為多級植入，包含各種組件，包括植入程式、安裝程式、載入程式、協調器和後門，後兩者有自己的插件集。此植入程式的設計以攻擊者進行封包攔截的能力為中心，允許 NSPX30 營運商隱藏其基礎設施。

惡意軟體的起源

後門的起源可以追溯到 2005 年 1 月名為 Project Wood 的惡意軟體，該惡意軟體的創建目的是收集系統和網路資訊、記錄擊鍵並捕獲受害者係統的螢幕截圖。 Project Wood 的程式碼庫是多種植入的基礎，在 2008 年引發了 DCM（又名 Dark Spectre）等變種。該惡意軟體隨後在 2012 年和 2014 年針對香港和大中華地區的相關個人發起了攻擊。

最新版本 NSPX30 是透過嘗試透過（未加密的）HTTP 協定下載軟體更新來提供的，從而導致系統受到損害。惡意植入程式是受感染更新過程的一部分，它會在磁碟上建立檔案並執行“RsStub.exe”，這是與瑞星防毒軟體相關的二進位檔案。這樣做是為了利用“comx3.dll”對 DLL 側載的敏感度來啟動“comx3.dll”。

「comx3.dll」充當執行名為「comx3.dll.txt」的檔案的載入程序，該檔案充當啟動攻擊鏈下一階段的安裝程式庫。此鏈最終導致協調器元件（“WIN.cfg”）的執行。儘管過去涉及中國威脅行為者（例如 BlackTech、Evasive Panda、Judgment Panda 和 Mustang Panda）已利用受感染的路由器作為分發惡意軟體的手段，但以惡意更新的形式傳遞植入程式的方法目前尚不清楚。