NSPX30 スパイウェア
中国に関連する正体不明の攻撃者が出現し、複数の Adversary-in-the-Middle (AitM) 攻撃を行っています。これらの攻撃には、NSPX30 として知られる高度なインプラントを配布する目的で、正規のソフトウェアからの更新リクエストをハイジャックすることが含まれます。研究者らは、この高度持続型脅威 (APT) グループを「Blackwood」として特定し、監視しています。この調査結果は、このサイバー犯罪グループが少なくとも 2018 年から活動していたことを示唆しています。
NSPX30 インプラントは、Tencent QQ、WPS Office、Sogou Pinyin などの有名なソフトウェアの更新メカニズムを通じて導入されたインスタンスで検出されています。これらの攻撃のターゲットは、中国と日本の製造、貿易、エンジニアリングに携わる企業です。さらに、中国、日本、英国の個人もこれらの AitM 攻撃の影響を受けています。
目次
NSPX30 スパイウェアはマルチコンポーネントの脅威です
NSPX30 は、ドロッパー、インストーラー、ローダー、オーケストレーター、バックドアなどのさまざまなコンポーネントで構成される洗練された多段階インプラントを表します。バックドアとオーケストレーターはそれぞれ、異なるプラグインのセットを持っています。インプラントのアーキテクチャは、パケット傍受機能を活用するように戦略的に設計されており、NSPX30 オペレーターはインフラストラクチャを効果的に隠すことができます。
バックドアの起源は、自己許可リストを通じて中国のいくつかのマルウェア対策ソリューションを回避する追加機能を備えており、2005 年 1 月に導入された Project Wood として知られる初期のマルウェアにまで遡ることができます。Project Wood はシステムを収集するために作成されました。およびネットワーク情報、キーストロークのキャプチャ、被害システムのスクリーンショットの取得。
Project Wood のコードベースはさまざまなインプラントの基礎として機能し、2008 年に DCM (Dark Spectre とも呼ばれる) などの派生型を生み出しました。その後、このマルウェアは香港およびその他の地域の要注意人物に対する標的型攻撃に使用されました。 2012 年と 2014 年の両方で中国エリア。
NSPX30 スパイウェア導入の攻撃チェーン
NSPX30 は、正規のサーバーから (暗号化されていない) HTTP プロトコルを介してソフトウェア更新をダウンロードしようとするシステムの侵害によって導入されます。この妥協により、ドロッパー DLL ファイルの展開が容易になります。
この有害なドロッパーは、侵害された更新プロセス中に開始され、ディスク上に複数のファイルを生成し、ウイルス対策ソフトウェアに関連付けられたバイナリ「RsStub.exe」の実行を開始します。この手順では、DLL サイドローディングに対する前者の脆弱性を悪用し、「comx3.dll」の起動を可能にします。
その後、「comx3.dll」がローダーとして機能し、「comx3.dll.txt」という名前の 3 番目のファイルを実行します。このファイルはインストーラー ライブラリとして機能し、攻撃チェーンの次の段階をトリガーし、最終的にオーケストレーター コンポーネント (「WIN.cfg」) の実行につながります。
脅威アクターが偽のアップデートの形でドロッパーを配布する具体的な方法はまだ不明です。ただし、歴史的なパターンは、 BlackTech 、Evasive Panda、Judgement Panda、Mustang Panda などの中国の脅威アクターが、侵害されたルーターをマルウェアの配布チャネルとして利用してきたことを示しています。研究者らは、攻撃者が被害者のネットワーク内にネットワーク インプラントを展開し、ルーターやゲートウェイなどの脆弱なネットワーク機器をターゲットにしている可能性を示唆しています。
NSPX30 スパイウェアは C2 コマンドに基づいて特定のアクションを実行できます
オーケストレーターは 2 つのスレッドの作成を開始します。1 つはバックドア ('msfmtkl.dat') の取得専用で、もう 1 つはプラグインのロードと、ローダー DLL による中国のマルウェア対策ソリューションのバイパスを可能にする除外の組み込みに重点を置いています。
バックドアをダウンロードするには、Baidu が所有する正規の中国の検索エンジンである www.baidu[.]com に対して HTTP リクエストが行われます。このリクエストでは、Windows 98 上の Internet Explorer を模倣して、その送信元を偽装する、型破りなユーザー エージェント文字列が使用されています。サーバーの応答はファイルに保存され、バックドア コンポーネントが抽出されてシステムのメモリにロードされます。
NSPX30 は、初期化プロセスの一環として、コントローラーからコマンドを受信し、データの抽出を容易にするように設計されたパッシブ UDP リスニング ソケットを確立します。これには、DNS クエリ パケットを傍受してコマンド アンド コントロール (C2) インフラストラクチャを匿名化することが含まれる可能性があります。
バックドアに提供される命令により、リバース シェルの作成、ファイル情報の収集、特定のプロセスの終了、スクリーンショットのキャプチャ、キーストロークの記録、さらには感染したマシンからのアンインストールなど、さまざまな機能が可能になります。
