Software espía NSPX30
Ha surgido un actor de amenazas no identificado asociado con China, que ha participado en varios ataques de Adversario en el Medio (AitM). Estos ataques implican secuestrar solicitudes de actualización de software legítimo con la intención de entregar un implante sofisticado conocido como NSPX30. Los investigadores están monitoreando este grupo de amenaza persistente avanzada (APT), identificándolo como "Blackwood". Los hallazgos sugieren que este grupo de ciberdelincuencia ha estado operativo desde al menos 2018.
El implante NSPX30 se ha detectado en casos en los que se implementó mediante mecanismos de actualización de software conocido, incluidos Tencent QQ, WPS Office y Sogou Pinyin. Los objetivos de estos ataques son empresas involucradas en la fabricación, el comercio y la ingeniería en China y Japón. Además, personas en China, Japón y el Reino Unido también se han visto afectadas por estos ataques de AitM.
Tabla de contenido
El software espía NSPX30 es una amenaza multicomponente
NSPX30 representa un sofisticado implante de varias etapas que comprende varios componentes, incluido un gotero, un instalador, cargadores, un orquestador y una puerta trasera. La puerta trasera y el orquestador poseen cada uno conjuntos distintos de complementos. La arquitectura del implante fue diseñada estratégicamente para aprovechar las capacidades de interceptación de paquetes, permitiendo a los operadores NSPX30 ocultar su infraestructura de manera efectiva.
Los orígenes de la puerta trasera, que tiene la capacidad adicional de eludir varias soluciones antimalware chinas mediante listas de autorización automática, se remontan a un malware anterior conocido como Project Wood, introducido en enero de 2005. Project Wood fue diseñado para recopilar datos del sistema. e información de red, capturar pulsaciones de teclas y tomar capturas de pantalla de los sistemas víctimas.
El código base del Proyecto Wood ha servido de base para varios implantes, dando lugar a derivados como DCM (también conocido como Dark Spectre) en 2008. Posteriormente, este malware se empleó en ataques dirigidos contra personas de interés en Hong Kong y el resto del mundo. Área de China tanto en 2012 como en 2014.
Cadena de ataque para la implementación del software espía NSPX30
NSPX30 se introduce a través del compromiso de sistemas que intentan descargar actualizaciones de software a través del protocolo HTTP (sin cifrar) desde servidores legítimos. Este compromiso facilita la implementación de un archivo DLL cuentagotas.
El dañino dropper, iniciado durante el proceso de actualización comprometido, genera múltiples archivos en el disco e inicia la ejecución de 'RsStub.exe', un binario asociado con el software antivirus. Este paso explota la vulnerabilidad del primero a la carga lateral de DLL, permitiendo el lanzamiento de 'comx3.dll'.
Posteriormente, 'comx3.dll' sirve como cargador, ejecutando un tercer archivo llamado 'comx3.dll.txt'. Este archivo funciona como una biblioteca de instalación, lo que desencadena la siguiente etapa de la cadena de ataque y, en última instancia, conduce a la ejecución del componente del orquestador ('WIN.cfg').
Aún se desconoce el método específico mediante el cual los actores de amenazas entregan el dropper en forma de actualizaciones falsas. Sin embargo, los patrones históricos indican que los actores de amenazas chinos, como BlackTech , Evasive Panda, Judgement Panda y Mustang Panda, han utilizado enrutadores comprometidos como canal de distribución de malware. Los investigadores sugieren la posibilidad de que los atacantes estén implementando un implante de red dentro de las redes de las víctimas, potencialmente apuntando a dispositivos de red vulnerables como enrutadores o puertas de enlace.
El software espía NSPX30 puede realizar acciones específicas basadas en comandos C2
El orquestador inicia la creación de dos subprocesos: uno dedicado a adquirir la puerta trasera ('msfmtkl.dat') y el otro centrado en cargar sus complementos e incorporar exclusiones para permitir eludir las soluciones antimalware chinas mediante las DLL del cargador.
Para descargar la puerta trasera, se realiza una solicitud HTTP a www.baidu[.]com, el motor de búsqueda chino legítimo propiedad de Baidu. La solicitud emplea una cadena User-Agent poco convencional, que imita Internet Explorer en Windows 98 para disfrazar su origen. La respuesta del servidor se guarda en un archivo y luego el componente de puerta trasera se extrae y se carga en la memoria del sistema.
Como parte de su proceso de inicialización, NSPX30 establece un conector de escucha UDP pasivo diseñado para recibir comandos del controlador y facilitar la filtración de datos. Esto implica probablemente interceptar paquetes de consultas DNS para anonimizar su infraestructura de comando y control (C2).
Las instrucciones proporcionadas a la puerta trasera permiten varias funcionalidades, incluida la creación de un shell inverso, recopilar información de archivos, finalizar procesos específicos, capturar capturas de pantalla, registrar pulsaciones de teclas e incluso desinstalarse de la máquina infectada.
