Un acteur malveillant aligné sur la Chine, jusqu’alors non documenté, a été lié à un ensemble d’attaques d’adversaire au milieu (AitM) qui détournent les demandes de mise à jour d’un logiciel légitime pour fournir un implant sophistiqué nommé NSPX30.
La société slovaque de cybersécurité ESET suit le groupe de menaces persistantes avancées (APT) sous le nom Bois noir. On dit qu’il est actif depuis au moins 2018.
L’implant NSPX30 a été observé déployé via les mécanismes de mise à jour de logiciels connus tels que Tencent QQ, WPS Office et Sogou Pinyin, les attaques ciblant des sociétés chinoises et japonaises de fabrication, de commerce et d’ingénierie ainsi que des individus situés en Chine, au Japon, et le Royaume-Uni
« NSPX30 est un implant à plusieurs étages qui comprend plusieurs composants tels qu’un compte-gouttes, un installateur, des chargeurs, un orchestrateur et une porte dérobée », a déclaré le chercheur en sécurité Facundo Muñoz. dit. « Ces deux derniers ont leurs propres ensembles de plugins. »
« L’implant a été conçu autour de la capacité des attaquants à intercepter des paquets, permettant aux opérateurs NSPX30 de cacher leur infrastructure. »
Les origines de la porte dérobée, qui est également capable de contourner plusieurs solutions anti-malware chinoises en s’inscrivant elle-même sur liste blanche, peuvent être attribuées à un autre malware de janvier 2005, nommé Project Wood, conçu pour récolter des informations sur le système et le réseau, enregistrer les frappes au clavier et prendre des photos. captures d’écran des systèmes victimes.
La base de code du projet Wood a servi de base à plusieurs implants, y compris des variantes de reproduction comme DCM (alias Spectre sombre) en 2008, le logiciel malveillant étant ensuite utilisé dans des attaques ciblant des individus d’intérêt à Hong Kong et dans la région de la Grande Chine en 2012 et 2014.
NSPX30, la dernière itération de l’implant, est fournie lorsque les tentatives de téléchargement de mises à jour logicielles à partir de serveurs légitimes à l’aide du protocole HTTP (non chiffré) entraînent une compromission du système, ouvrant la voie au déploiement d’un fichier DLL dropper.
Le compte-gouttes malveillant déployé dans le cadre du processus de mise à jour compromis crée plusieurs fichiers sur le disque et exécute « RsStub.exe », un binaire associé au logiciel Rising Antivirus, afin de lancer « comx3.dll » en profitant du fait que le premier est sensible au chargement latéral des DLL.
« comx3.dll » fonctionne comme un chargeur pour exécuter un troisième fichier nommé « comx3.dll.txt », qui est une bibliothèque d’installation chargée d’activer la chaîne d’attaque de l’étape suivante qui aboutit à l’exécution du composant orchestrateur (« WIN. cfg »).
On ne sait pas actuellement comment les acteurs de la menace délivrent le dropper sous la forme de mises à jour malveillantes, mais les acteurs de la menace chinois comme BlackTech, Evasive Panda, Judgment Panda et Mustang Panda ont profité des routeurs compromis comme canal pour distribuer des logiciels malveillants dans le passé.
ESET suppose que les attaquants « déploient un implant réseau dans les réseaux des victimes, éventuellement sur des appareils réseau vulnérables tels que des routeurs ou des passerelles ».
« Le fait que nous n’ayons trouvé aucune indication de redirection du trafic via DNS pourrait indiquer que lorsque l’implant réseau hypothétique intercepte le trafic HTTP non crypté lié aux mises à jour, il répond avec le compte-gouttes de l’implant NSPX30 sous la forme d’une DLL, d’un fichier exécutable ou d’un ZIP. archive contenant la DLL. »
L’orchestrateur crée ensuite deux threads, un pour obtenir la porte dérobée (« msfmtkl.dat ») et un autre pour charger ses plugins et ajouter des exclusions pour autoriser les DLL du chargeur afin de contourner les solutions anti-malware chinoises.
La porte dérobée est téléchargée via une requête HTTP sur le site Web de Baidu www.baidu[.]com, un moteur de recherche chinois légitime, avec une chaîne User-Agent inhabituelle qui masque la requête comme provenant du navigateur Internet Explorer sous Windows 98.
La réponse du serveur est ensuite enregistrée dans un fichier à partir duquel le composant de porte dérobée est extrait et chargé en mémoire.
NSPX30, dans le cadre de sa phase d’initialisation, crée également un socket d’écoute UDP passif pour recevoir les commandes du contrôleur et exfiltrer les données en interceptant probablement les paquets de requêtes DNS afin d’anonymiser son infrastructure de commande et de contrôle (C2).
Les instructions permettent à la porte dérobée de créer un shell inversé, de collecter des informations sur les fichiers, de mettre fin à des processus spécifiques, de capturer des captures d’écran, d’enregistrer les frappes au clavier et même de se désinstaller de la machine infectée.
Cette divulgation intervient quelques semaines après que SecurityScorecard a révélé une nouvelle infrastructure connectée à un autre groupe de cyberespionnage lié à Pékin, connu sous le nom de Volt Typhoon (alias Bronze Silhouette), qui exploite un botnet créé en exploitant des failles de sécurité connues dans les routeurs Cisco RV320/325 en fin de vie (CVE-2019-1652 et CVE-2019-1653) opérant en Europe, en Amérique du Nord et en Asie-Pacifique.
« Environ 30 % d’entre eux (325 appareils sur 1 116) communiquaient avec deux adresses IP précédemment nommées comme routeurs proxy utilisés pour les communications de commande et de contrôle (C2), 174.138.56.[.]21 et 159.203.113[.]25, dans un délai de trente jours », la société dit.
« Volt Typhoon pourrait viser à utiliser ces appareils compromis pour transférer des données volées ou se connecter aux réseaux des organisations cibles. »