Çin Destekli Bilgisayar Korsanları "NSPX30" Casus Yazılımını İmplante Etmek İçin Yazılım Güncellemelerini Ele Geçirdi
Daha önce belgelenmemiş Çin bağlantılı bir tehdit aktörü, NSPX30 adlı karmaşık bir implant sunmak için meşru yazılımlardan gelen güncelleme isteklerini ele geçiren bir dizi ortadaki düşman (AitM) saldırısıyla ilişkilendirildi.
Slovak siber güvenlik firması ESET, Blackwood adı altında gelişmiş kalıcı tehdit (APT) grubunu takip ediyor. En az 2018'den beri aktif olduğu söyleniyor.
NSPX30 implantının, Çinli ve Japon imalat, ticaret ve mühendislik şirketlerinin yanı sıra Çin, Japonya ve İngiltere'de bulunan bireyleri hedef alan saldırılarla Tencent QQ, WPS Office ve Sogou Pinyin gibi bilinen yazılımların güncelleme mekanizmaları aracılığıyla konuşlandırıldığı gözlemlendi.
Güvenlik araştırmacısı Facundo Muñoz, "NSPX30, damlalık, yükleyici, yükleyiciler, düzenleyici ve arka kapı gibi çeşitli bileşenleri içeren çok aşamalı bir implanttır" dedi. "Son ikisinin her ikisinin de kendi eklenti setleri var."
"İmplant, saldırganların paket yakalama kabiliyeti etrafında tasarlandı ve NSPX30 operatörlerinin altyapılarını gizlemelerini sağladı."
Kendisini izin verilenler listesine ekleyerek birkaç Çin kötü amaçlı yazılımdan koruma çözümünü de atlayabilen arka kapının kökenleri, sistem ve ağ bilgilerini toplamak, tuş vuruşlarını kaydetmek ve kurban sistemlerinden ekran görüntüleri almak için tasarlanmış Project Wood kod adlı Ocak 2005'ten başka bir kötü amaçlı yazılıma kadar izlenebilir.
Project Wood'un kod tabanı, 2008'de DCM (diğer adıyla Dark Spectre) gibi yumurtlama varyantları da dahil olmak üzere çeşitli implantların temelini oluşturdu ve kötü amaçlı yazılım daha sonra 2012 ve 2014'te Hong Kong ve Büyük Çin bölgesindeki ilgili kişileri hedef alan saldırılarda kullanıldı.
İmplantın en son yinelemesi olan NSPX30, (şifrelenmemiş) HTTP protokolünü kullanarak meşru sunuculardan yazılım güncellemelerini indirme girişimleri bir sistem güvenliğinin ihlal edilmesiyle sonuçlandığında ve bir damlalıklı DLL dosyasının dağıtımının önünü açtığında teslim edilir.
Güvenliği ihlal edilmiş güncelleme işleminin bir parçası olarak dağıtılan kötü amaçlı damlalık, diskte birkaç dosya oluşturur ve Rising Antivirus yazılımıyla ilişkili bir ikili dosya olan "RsStub.exe"i yürütür, böylece birincisinin DLL yandan yüklemeye duyarlı olduğu gerçeğinden yararlanarak "comx3.dll" başlatır.
"comx3.dll", orchestrator bileşeninin ("WIN.cfg") yürütülmesiyle sonuçlanan bir sonraki aşama saldırı zincirini etkinleştirmekten sorumlu bir yükleyici kitaplığı olan "comx3.dll.txt" adlı üçüncü bir dosyayı yürütmek için bir yükleyici işlevi görür.
Şu anda tehdit aktörlerinin damlalığı kötü amaçlı güncellemeler şeklinde nasıl sunduğu bilinmiyor, ancak BlackTech, Evasive Panda, Judgement Panda ve Mustang Panda gibi Çinli tehdit aktörleri, geçmişte kötü amaçlı yazılımları dağıtmak için bir kanal olarak güvenliği ihlal edilmiş yönlendiricilerden yararlandı.
ESET, saldırganların "kurbanların ağlarına, muhtemelen yönlendiriciler veya ağ geçitleri gibi savunmasız ağ cihazlarına bir ağ implantı yerleştirdiğini" tahmin ediyor.
"DNS üzerinden trafiğin yeniden yönlendirildiğine dair hiçbir belirti bulamadığımız gerçeği, varsayımsal ağ implantı güncellemelerle ilgili şifrelenmemiş HTTP trafiğini kestiğinde, NSPX30 implantının damlalığıyla bir DLL, yürütülebilir bir dosya veya DLL'yi içeren bir ZIP arşivi şeklinde yanıt verdiğini gösterebilir."
Orchestrator daha sonra biri arka kapıyı ("msfmtkl.dat") almak ve diğeri eklentilerini yüklemek ve Çin kötü amaçlı yazılımdan koruma çözümlerini atlamak için yükleyici DLL'lerini izin verilenler listesine eklemek için istisnalar eklemek için iki iş parçacığı oluşturmaya devam eder.
Arka kapı, Baidu'nun web sitesine bir HTTP isteği aracılığıyla indirilir www.baidu[.] com, isteği Windows 98'deki Internet Explorer tarayıcısından geliyormuş gibi gösteren alışılmadık bir User-Agent dizesine sahip meşru bir Çince arama motorudur.
Sunucudan gelen yanıt daha sonra arka kapı bileşeninin ayıklandığı ve belleğe yüklendiği bir dosyaya kaydedilir.
NSPX30, başlatma aşamasının bir parçası olarak, komut ve kontrol (C2) altyapısını anonimleştirmek için muhtemelen DNS sorgu paketlerini ele geçirerek denetleyiciden komut almak ve veri sızdırmak için pasif bir UDP dinleme soketi oluşturur.
Talimatlar, arka kapının bir ters kabuk oluşturmasına, dosya bilgilerini toplamasına, belirli işlemleri sonlandırmasına, ekran görüntülerini yakalamasına, tuş vuruşlarını günlüğe kaydetmesine ve hatta virüslü makineden kendisini kaldırmasına olanak tanır.
Açıklama, SecurityScorecard'ın Avrupa, Kuzey Amerika ve Asya Pasifik'te faaliyet gösteren kullanım ömrü sona ermiş Cisco RV320/325 yönlendiricilerindeki (CVE-2019-1652 ve CVE-2019-1653) bilinen güvenlik açıklarından yararlanarak oluşturulan bir botnet'ten yararlanan Volt Typhoon (diğer adıyla Bronz Silhouette) olarak bilinen başka bir Pekin-nexus siber casusluk grubuna bağlı yeni altyapıyı ortaya çıkarmasından haftalar sonra geldi.
"Bunların yaklaşık% 30'u (1.116 cihazın 325'i) daha önce komuta ve kontrol (C2) iletişimi için kullanılan proxy yönlendiriciler olarak adlandırılan iki IP adresiyle iletişim kurdu, 174.138.56 [.] 21 ve 159.203.113[.] 25, otuz günlük bir süre içinde" dedi.
"Volt Typhoon, çalınan verileri aktarmak veya hedef kuruluşların ağlarına bağlanmak için bu güvenliği ihlal edilmiş cihazları kullanmayı hedefleyebilir."
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı