Ранее неизвестная группа злоумышленников, под названием Blackwood, использует сложное вредоносное ПО под названием NSPX30 для кибершпионских атак против компаний и частных лиц.

Злоумышленники активны по крайней мере с 2018 года, используя вредоносное ПО NSPX30 — имплантат с кодовой базой, основанный на простом бэкдоре 2005 года, после атак «злоумышленник посередине» (AitM).

Исследователи компании по кибербезопасности обнаружили Blackwood и имплант NSPX30 в ходе кампании в 2020 году и полагают, что деятельность группы соответствует государственным интересам Китая.

Целью Blackwood являются Китай, Япония и Великобритания. Вредоносное ПО доставлялось через механизмы обновления законного программного обеспечения, такого как WPS Office (офисный пакет), платформу обмена мгновенными сообщениями Tencent QQ и редактор документов Sogou Pinyin.

По мнению исследователей, Blackwood осуществляет атаки AitM и перехватывает трафик, генерируемый NSPX30, чтобы скрыть свою деятельность и скрыть свои серверы управления и контроля (C2).

Эксперты также отмечают, что Blackwood, возможно, разделяет доступ с другими китайскими группами APT. Специалисты по безопасности заметили, что система одной компании подверглась атаке наборов инструментов, связанных с несколькими участниками, например, Evasive Panda, LuoYu и LittleBear.

NSPX30 — это сложный имплант, основанный на коде бэкдора 2005 года под названием «Project Wood», который имел элементарные возможности для сбора системных данных, кейлогинга и создания снимков экрана.

Среди других имплантатов, появившихся в рамках Project Wood, был DCM (Dark Spectre), впервые появившийся в сети в 2008 году и обладающий множеством функциональных улучшений.

Эксперты считают, что NSPX30 произошел от DCM, а первый известный образец вредоносного ПО был зарегистрирован в 2018 году.

В отличие от своих предшественников, NSPX30 отличается многоступенчатой архитектурой, включающей такие компоненты, как дроппер, установщик DLL с обширными возможностями обхода UAC, загрузчик, оркестратор и бэкдор, каждый из которых имеет собственный набор плагинов.

NSPX30 демонстрирует значительный технический прогресс благодаря возможностям перехвата пакетов для сокрытия своей инфраструктуры, что позволяет ей работать скрытно. У него также есть механизмы, которые добавляют его в белые списки китайских инструментов защиты от вредоносных программ, чтобы избежать обнаружения.

Основная функция NSPX30 — сбор информации из взломанной системы, включая файлы, снимки экрана, нажатия клавиш, данные об оборудовании и сети, а также учетные данные.

Бэкдор также может украсть журналы чатов и списки контактов из Tencent QQ, WeChat, Telegram, Skype, CloudChat, RaidCall, YY и AliWangWang.

Бэкдор также может завершать процессы по PID, создавать обратную оболочку, перемещать файлы по указанным путям или удалять себя из зараженной системы.

Примечательным аспектом деятельности Blackwood является способность доставлять NSPX30 путем перехвата запросов на обновления, сделанных законным программным обеспечением, включая Tencent QQ, WPS Office и Sogou Pinyin.

Однако это отличается от компрометации цепочки поставок, поскольку Blackwood перехватывает незашифрованную HTTP-связь между системой жертвы и сервером обновлений и производит необходимые действия, чтобы доставить имплантат.

Точный механизм, который позволяет Blackwood перехватывать этот трафик, неизвестен. Эксперты предполагают, что это может быть возможно путем использования имплантата в сетях целей, возможно, на уязвимых устройствах, таких как маршрутизаторы или шлюзы.

Основываясь на своем анализе, исследователи полагают, что оригинальный бэкдор, лежащий в основе эволюции специального имплантата NSPX30, по-видимому, был разработан опытными разработчиками вредоносного ПО.

Компания Mainton - разработка и тестирование программного обеспечения под заказ, DevOps и SRE, SEO и реклама в интернете с 2004 года.