Un actor de amenazas previamente indocumentado alineado con China ha sido vinculado a una serie de ataques de adversario en el medio (AitM) que secuestran solicitudes de actualización de software legítimo para entregar un sofisticado implante llamado NSPX30.
La empresa eslovaca de ciberseguridad ESET está rastreando el grupo de amenazas persistentes avanzadas (APT) con el nombre Madera negra. Se dice que está activo desde al menos 2018.
Se ha observado que el implante NSPX30 se implementó a través de mecanismos de actualización de software conocido como Tencent QQ, WPS Office y Sogou Pinyin, y los ataques se dirigieron a empresas de fabricación, comercio e ingeniería chinas y japonesas, así como a personas ubicadas en China, Japón. y el reino unido
«NSPX30 es un implante multietapa que incluye varios componentes como un gotero, un instalador, un cargador, un orquestador y una puerta trasera», explicó el investigador de seguridad Facundo Muñoz. dicho. «Los dos últimos tienen sus propios conjuntos de complementos».
«El implante fue diseñado en torno a la capacidad de los atacantes para interceptar paquetes, permitiendo a los operadores NSPX30 ocultar su infraestructura».
Los orígenes de la puerta trasera, que también es capaz de eludir varias soluciones antimalware chinas al incluirse en la lista de permitidos, se remontan a otro malware de enero de 2005 cuyo nombre en código es Proyecto Wood, que está diseñado para recolectar información del sistema y de la red, registrar las pulsaciones de teclas y tomar capturas de pantalla de los sistemas víctimas.
El código base del Proyecto Wood ha actuado como base para varios implantes, incluidas variantes de generación como MCD (también conocido como Espectro oscuro) en 2008, y el malware se utilizó posteriormente en ataques dirigidos a personas de interés en Hong Kong y el área de la Gran China en 2012 y 2014.
NSPX30, la última versión del implante, se entrega cuando los intentos de descargar actualizaciones de software de servidores legítimos utilizando el protocolo HTTP (sin cifrar) resultan en un compromiso del sistema, allanando el camino para la implementación de un archivo DLL cuentagotas.
El dropper malicioso implementado como parte del proceso de actualización comprometido crea varios archivos en el disco y ejecuta «RsStub.exe», un binario asociado con el software Rising Antivirus para iniciar «comx3.dll» aprovechando el hecho de que el primero está susceptible a la carga lateral de DLL.
«comx3.dll» funciona como un cargador para ejecutar un tercer archivo llamado «comx3.dll.txt», que es una biblioteca de instalación responsable de activar la cadena de ataque de la siguiente etapa que culmina con la ejecución del componente orquestador («WIN. cfg»).
Actualmente no se sabe cómo los actores de amenazas entregan el cuentagotas en forma de actualizaciones maliciosas, pero los actores de amenazas chinos como BlackTech, Evasive Panda, Judgement Panda y Mustang Panda han aprovechado los enrutadores comprometidos como canal para distribuir malware en el pasado.
ESET especula que los atacantes «están implementando un implante de red en las redes de las víctimas, posiblemente en dispositivos de red vulnerables como enrutadores o puertas de enlace».
«El hecho de que no hayamos encontrado indicios de redirección de tráfico a través de DNS podría indicar que cuando el hipotético implante de red intercepta el tráfico HTTP no cifrado relacionado con las actualizaciones, responde con el cuentagotas del implante NSPX30 en forma de una DLL, un archivo ejecutable o un ZIP. archivo que contiene la DLL.»
Luego, el orquestador procede a crear dos subprocesos, uno para obtener la puerta trasera («msfmtkl.dat») y otro para cargar sus complementos y agregar exclusiones a la lista de permitidos de las DLL del cargador para evitar las soluciones antimalware chinas.
La puerta trasera se descarga mediante una solicitud HTTP al sitio web de Baidu www.baidu.[.]com, un motor de búsqueda chino legítimo, con una cadena de agente de usuario inusual que hace pasar la solicitud como si se originara en el navegador Internet Explorer en Windows 98.
Luego, la respuesta del servidor se guarda en un archivo del cual se extrae el componente de puerta trasera y se carga en la memoria.
NSPX30, como parte de su fase de inicialización, también crea un socket de escucha UDP pasivo para recibir comandos del controlador y extraer datos probablemente interceptando paquetes de consulta DNS para anonimizar su infraestructura de comando y control (C2).
Las instrucciones permiten que la puerta trasera cree un shell inverso, recopile información de archivos, finalice procesos específicos, capture capturas de pantalla, registre pulsaciones de teclas e incluso se desinstale de la máquina infectada.
La divulgación se produce semanas después de que SecurityScorecard revelara una nueva infraestructura conectada a otro grupo de ciberespionaje del nexo de Beijing conocido como Volt Typhoon (también conocido como Bronze Silhouette) que aprovecha una botnet creada mediante la explotación de fallas de seguridad conocidas en los enrutadores Cisco RV320/325 al final de su vida útil (CVE-2019-1652 y CVE-2019-1653) que opera en Europa, América del Norte y Asia Pacífico.
«Aproximadamente el 30% de ellos (325 de 1116 dispositivos) se comunicaron con dos direcciones IP previamente denominadas enrutadores proxy utilizados para comunicaciones de comando y control (C2), 174.138.56[.]21 y 159.203.113[.]25, en un período de treinta días», la empresa dicho.
«Volt Typhoon puede intentar utilizar estos dispositivos comprometidos para transferir datos robados o conectarse a las redes de las organizaciones objetivo».