Hackers apoiados pela China sequestram atualizações de software para implantar spyware "NSPX30"
25 de Janeiro de 2024

Um ator de ameaças alinhado com a China, que não havia sido documentado anteriormente, foi ligado a um conjunto de ataques de adversário-a-meaça (AitM) que sequestram solicitações de atualização de software legítimo para entregar um sofisticado implante chamado NSPX30.

A firma eslovaca de cibersegurança ESET está rastreando o grupo de ameaças persistentes avançadas (APT) sob o nome de Blackwood.

Ele supostamente está ativo desde pelo menos 2018.

O implante NSPX30 foi observado sendo implantado por meio dos mecanismos de atualização de software conhecidos como Tencent QQ, WPS Office e Sogou Pinyin, com os ataques visando empresas de manufatura, comércio e engenharia chinesas e japonesas, além de indivíduos localizados na China, Japão e no Reino Unido.

"NSPX30 é um implante em vários estágios que inclui vários componentes como dropper, instalador, carregadores, um orquestrador e uma backdoor," disse o pesquisador de segurança Facundo Muñoz.

"Ambos os dois últimos têm seus próprios conjuntos de plugins."

"O implante foi projetado em torno da capacidade dos atacantes de conduzir interceptação de pacotes, permitindo que os operadores NSPX30 ocultem sua infraestrutura."

As origens da backdoor, que também é capaz de contornar várias soluções anti-malware chinesas, ao se colocar na lista de permissões, podem ser rastreadas até outro malware de janeiro de 2005, apelidado de Projeto Wood, que é projetado para coletar informações do sistema e da rede, registrar teclas digitadas e tirar capturas de tela dos sistemas da vítima.

A base de código do Projeto Wood serviu de base para vários implantes, incluindo variantes como DCM (também conhecido como Dark Specter) em 2008, com o malware sendo usado posteriormente em ataques direcionados a indivíduos de interesse em Hong Kong e na Grande China em 2012 e 2014.

NSPX30, a última versão do implante, é entregue quando tentativas de baixar atualizações de software de servidores legítimos usando o protocolo HTTP (não criptografado) resultam em um comprometimento do sistema, abrindo caminho para o deployment de um arquivo dropper DLL.

O dropper malicioso implantado como parte do processo de atualização comprometido cria vários arquivos no disco e executa o "RsStub.exe," um binário associado ao software antivírus Rising para lançar o "comx3.dll," aproveitando o fato de que o antivírus é suscetível a carregamentos laterais de DLL.

O "comx3.dll" funciona como um carregador para executar um terceiro arquivo chamado "comx3.dll.txt," que é uma biblioteca instaladora responsável por ativar a cadeia de ataque da próxima etapa que culmina na execução do componente orquestrador ("WIN.cfg").

Atualmente não se sabe como os atores de ameaças entregam o dropper na forma de atualizações maliciosas, mas atores de ameaças chineses como BlackTech, Evasive Panda e Mustang Panda, já utilizaram roteadores comprometidos como um canal para distribuir malware no passado.

A ESET especula que os atacantes "estão implementando um implante de rede nas redes das vítimas, possivelmente em dispositivos de rede vulneráveis como roteadores ou gateways."

"O fato de não encontrarmos nenhum indício de redirecionamento de tráfego via DNS pode indicar que quando o implante de rede hipotetizado intercepta o tráfego HTTP não criptografado relacionado a atualizações, ele responde com o dropper do implante NSPX30 na forma de um DLL, um arquivo executável ou um arquivo ZIP contendo o DLL."

O orquestrador então procede para criar duas threads, uma para obter a backdoor("msfmtkl.dat") e outra para carregar seus plugins e adicionar exclusões para a lista de permissões das DLLs de payload para contornar as soluções anti-malware chinesas.

A backdoor é baixada por meio de uma solicitação HTTP ao site do Baidu www.baidu[.]com, um mecanismo de pesquisa chinês legítimo, com uma string de agente do usuário inusual que mascara a solicitação como originária do navegador Internet Explorer no Windows 98.

A resposta do servidor é então salva em um arquivo pelo qual o componente da backdoor é extraído e carregado na memória.

NSPX30, como parte de sua fase de inicialização, também cria um socket de escuta UDP passivo para receber comandos do controlador e exiltrar dados provavelmente interceptando pacotes de consulta DNS para anonimizar sua infraestrutura de comando e controle (C2).

As instruções permitem que a backdoor crie uma shell reversa, colete informações de arquivo, encerre processos específicos, capture capturas de tela, registre teclas pressionadas e até se desinstale da máquina infectada.

A divulgação ocorre semanas após a SecurityScorecard revelar Nova infraestrutura ligada a outro grupo de ciberespionagem com nexus em Pequim conhecido como Volt Typhoon (também conhecido como Bronze Silhouette) que aproveita uma botnet criada explorando falhas de segurança conhecidas em roteadores Cisco RV320/325 end-of-life ( CVE-2019-1652 e CVE-2019-1653 ) operando na Europa, América do Norte e Ásia Pacífico.

"Aproximadamente 30% deles (325 de 1,116 dispositivos) se comunicaram com dois endereços IP anteriormente denominados como roteadores proxy used para comunicações de comando e controle (C2), 174.138.56[.] 21 and 159.203.113[.] 25, in a thirty-day period," a empresa disse.

"Volt Typhoon pode visar usar esses dispositivos comprometidos para transferir dados roubados ou se conectar às redes de organizações alvo."

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...