Een voorheen ongedocumenteerde, met China verbonden bedreigingsacteur is in verband gebracht met een reeks tegenstander-in-the-middle (AitM)-aanvallen die updateverzoeken van legitieme software kapen om een geavanceerd implantaat met de naam NSPX30 te leveren.
Het Slowaakse cyberbeveiligingsbedrijf ESET volgt de Advanced Persistent Threat (APT)-groep onder de naam Zwart hout. Er wordt gezegd dat het actief is sinds ten minste 2018.
Er is waargenomen dat het NSPX30-implantaat werd ingezet via de updatemechanismen van bekende software zoals Tencent QQ, WPS Office en Sogou Pinyin, waarbij de aanvallen zich richtten op Chinese en Japanse productie-, handels- en engineeringbedrijven, maar ook op individuen in China, Japan, en Groot-Brittannië
“NSPX30 is een meertrapsimplantaat dat verschillende componenten omvat, zoals een druppelaar, een installatieprogramma, laders, een orkestrator en een achterdeur”, aldus beveiligingsonderzoeker Facundo Muñoz. “Beide laatste twee hebben hun eigen sets plug-ins.”
“Het implantaat is ontworpen rond de mogelijkheid van aanvallers om pakketten te onderscheppen, waardoor NSPX30-operators hun infrastructuur kunnen verbergen.”
De oorsprong van de achterdeur, die ook verschillende Chinese antimalwareoplossingen kan omzeilen door zichzelf op de toelatingslijst te plaatsen, kan worden herleid tot een andere malware uit januari 2005 met de codenaam Project Wood, die is ontworpen om systeem- en netwerkinformatie te verzamelen, toetsaanslagen vast te leggen en screenshots van slachtoffersystemen.
De codebasis van Project Wood heeft als basis gediend voor verschillende implantaten, waaronder spawning-varianten zoals DCM (ook bekend als Dark Spectre) in 2008, waarbij de malware vervolgens werd gebruikt bij aanvallen gericht op personen van belang in Hong Kong en de regio Groot-China in 2012 en 2014.
NSPX30, de nieuwste versie van het implantaat, wordt geleverd wanneer pogingen om software-updates te downloaden van legitieme servers met behulp van het (niet-versleutelde) HTTP-protocol resulteren in een systeemcompromis, waardoor de weg wordt vrijgemaakt voor de implementatie van een dropper-DLL-bestand.
De kwaadaardige dropper die wordt ingezet als onderdeel van het gecompromitteerde updateproces creëert verschillende bestanden op schijf en voert “RsStub.exe” uit, een binair bestand dat is gekoppeld aan de Rising Antivirus-software om “comx3.dll” te starten door te profiteren van het feit dat de eerste is gevoelig voor side-loading van DLL.
“comx3.dll” functioneert als een lader om een derde bestand uit te voeren met de naam “comx3.dll.txt”, een installatiebibliotheek die verantwoordelijk is voor het activeren van de aanvalsketen in de volgende fase die culmineert in de uitvoering van de Orchestrator-component (“WIN. cfg”).
Het is momenteel niet bekend hoe de bedreigingsactoren de dropper afleveren in de vorm van kwaadaardige updates, maar Chinese bedreigingsactoren zoals BlackTech, Evasive Panda, Judgment Panda en Mustang Panda hebben in het verleden geprofiteerd van gecompromitteerde routers als kanaal om malware te verspreiden.
ESET speculeert dat de aanvallers “een netwerkimplantaat inzetten in de netwerken van de slachtoffers, mogelijk op kwetsbare netwerkapparatuur zoals routers of gateways.”
“Het feit dat we geen aanwijzingen hebben gevonden voor het omleiden van verkeer via DNS zou erop kunnen wijzen dat wanneer het veronderstelde netwerkimplantaat niet-gecodeerd HTTP-verkeer met betrekking tot updates onderschept, het antwoordt met de dropper van het NSPX30-implantaat in de vorm van een DLL, een uitvoerbaar bestand of een ZIP archief met de DLL.”
De orkestrator gaat vervolgens verder met het maken van twee threads, één om de achterdeur (“msfmtkl.dat”) te verkrijgen en een andere om de plug-ins te laden en uitsluitingen toe te voegen om de lader-DLL’s op de toelatingslijst te zetten om Chinese antimalwareoplossingen te omzeilen.
De backdoor wordt via een HTTP-verzoek gedownload naar de website van Baidu www.baidu[.]com, een legitieme Chinese zoekmachine, met een ongebruikelijke User-Agent-tekenreeks die doet alsof het verzoek afkomstig is van de Internet Explorer-browser op Windows 98.
Het antwoord van de server wordt vervolgens opgeslagen in een bestand waaruit de achterdeurcomponent wordt geëxtraheerd en in het geheugen wordt geladen.
NSPX30 creëert, als onderdeel van de initialisatiefase, ook een passieve UDP-luistersocket voor het ontvangen van opdrachten van de controller en het exfiltreren van gegevens door waarschijnlijk DNS-querypakketten te onderscheppen om de command-and-control (C2)-infrastructuur te anonimiseren.
Dankzij de instructies kan de achterdeur een omgekeerde shell maken, bestandsinformatie verzamelen, specifieke processen beëindigen, schermafbeeldingen maken, toetsaanslagen registreren en zichzelf zelfs van de geïnfecteerde machine verwijderen.
De onthulling komt weken nadat SecurityScorecard nieuwe infrastructuur heeft onthuld die is verbonden met een andere cyberspionagegroep uit Peking, bekend als Volt Typhoon (ook bekend als Bronze Silhouette), die gebruik maakt van een botnet dat is gecreëerd door gebruik te maken van bekende beveiligingsfouten in end-of-life Cisco RV320/325-routers (CVE). -2019-1652 en CVE-2019-1653) actief in Europa, Noord-Amerika en Azië-Pacific.
“Ongeveer 30% van hen (325 van de 1.116 apparaten) communiceerde met twee IP-adressen die voorheen werden genoemd als proxyrouters die werden gebruikt voor command-and-control (C2) communicatie, 174.138.56[.]21 en 159.203.113[.]25, binnen een periode van dertig dagen”, aldus het bedrijf.
“Volt Typhoon kan proberen deze gecompromitteerde apparaten te gebruiken om gestolen gegevens over te dragen of verbinding te maken met de netwerken van doelorganisaties.”
