Logiciel espion NSPX30
Un acteur menaçant non identifié associé à la Chine est apparu, se livrant à plusieurs attaques de type Adversaire du Milieu (AitM). Ces attaques impliquent le détournement de demandes de mise à jour provenant de logiciels légitimes dans le but de fournir un implant sophistiqué connu sous le nom de NSPX30. Les chercheurs surveillent ce groupe de menaces persistantes avancées (APT), l'identifiant comme « Blackwood ». Les résultats suggèrent que ce groupe de cybercriminalité est opérationnel depuis au moins 2018.
L'implant NSPX30 a été détecté dans des cas où il a été déployé via les mécanismes de mise à jour de logiciels bien connus, notamment Tencent QQ, WPS Office et Sogou Pinyin. Les cibles de ces attaques sont des entreprises impliquées dans la fabrication, le commerce et l’ingénierie en Chine et au Japon. De plus, des individus en Chine, au Japon et au Royaume-Uni ont également été touchés par ces attaques AitM.
Table des matières
Le logiciel espion NSPX30 est une menace à plusieurs composants
NSPX30 représente un implant sophistiqué à plusieurs étages comprenant divers composants, notamment un compte-gouttes, un installateur, des chargeurs, un orchestrateur et une porte dérobée. La porte dérobée et l’orchestrateur possèdent chacun des ensembles distincts de plugins. L'architecture de l'implant a été stratégiquement conçue pour exploiter les capacités d'interception de paquets, permettant aux opérateurs du NSPX30 de dissimuler efficacement leur infrastructure.
Les origines de la porte dérobée, qui a la capacité supplémentaire de contourner plusieurs solutions anti-malware chinoises via une liste d'auto-autorisation, remontent à un malware antérieur connu sous le nom de Project Wood, introduit en janvier 2005. Project Wood a été conçu pour rassembler le système et les informations réseau, capturez les frappes au clavier et prenez des captures d'écran des systèmes victimes.
La base de code de Project Wood a servi de base à divers implants, donnant naissance à des dérivés tels que DCM (également connu sous le nom de Dark Specter) en 2008. Par la suite, ce malware a été utilisé dans des attaques ciblées contre des individus d'intérêt à Hong Kong et dans le Grand Zone Chine en 2012 et 2014.
Chaîne d'attaque pour le déploiement du logiciel espion NSPX30
NSPX30 est introduit via la compromission de systèmes tentant de télécharger des mises à jour logicielles via le protocole HTTP (non chiffré) à partir de serveurs légitimes. Ce compromis facilite le déploiement d'un fichier DLL dropper.
Le compte-gouttes nuisible, lancé lors du processus de mise à jour compromis, génère plusieurs fichiers sur le disque et lance l'exécution de « RsStub.exe », un binaire associé au logiciel antivirus. Cette étape exploite la vulnérabilité de la première au chargement latéral des DLL, permettant le lancement de « comx3.dll ».
Par la suite, « comx3.dll » sert de chargeur, exécutant un troisième fichier nommé « comx3.dll.txt ». Ce fichier fonctionne comme une bibliothèque d'installation, déclenchant l'étape suivante de la chaîne d'attaque, conduisant finalement à l'exécution du composant orchestrateur (« WIN.cfg »).
La méthode spécifique par laquelle les acteurs malveillants fournissent le compte-gouttes sous la forme de fausses mises à jour reste inconnue. Cependant, des tendances historiques indiquent que les acteurs chinois de la menace, tels que BlackTech , Evasive Panda, Judgment Panda et Mustang Panda, ont utilisé des routeurs compromis comme canal de distribution de logiciels malveillants. Les chercheurs suggèrent la possibilité que les attaquants déploient un implant réseau au sein des réseaux des victimes, ciblant potentiellement les appareils réseau vulnérables tels que les routeurs ou les passerelles.
Le logiciel espion NSPX30 peut effectuer des actions spécifiques basées sur les commandes C2
L'orchestrateur initie la création de deux threads : l'un dédié à l'acquisition de la porte dérobée (« msfmtkl.dat ») et l'autre axé sur le chargement de ses plugins et l'incorporation d'exclusions pour permettre le contournement des solutions anti-malware chinoises par les DLL du chargeur.
Pour télécharger la porte dérobée, une requête HTTP est adressée à www.baidu[.]com, le moteur de recherche chinois légitime appartenant à Baidu. La requête utilise une chaîne User-Agent non conventionnelle, imitant Internet Explorer sous Windows 98 pour dissimuler son origine. La réponse du serveur est enregistrée dans un fichier, et le composant de porte dérobée est ensuite extrait et chargé dans la mémoire du système.
Dans le cadre de son processus d'initialisation, le NSPX30 établit un socket d'écoute UDP passif conçu pour recevoir les commandes du contrôleur et faciliter l'exfiltration des données. Cela implique probablement l'interception des paquets de requêtes DNS pour anonymiser son infrastructure de commande et de contrôle (C2).
Les instructions fournies à la porte dérobée permettent diverses fonctionnalités, notamment la création d'un shell inversé, la collecte d'informations sur les fichiers, la fin de processus spécifiques, la capture de captures d'écran, l'enregistrement des frappes au clavier et même la désinstallation de la machine infectée.
