Хакеры Blackwood взломали обновление WPS Office и установили вредоносное ПО

Ранее неизвестная группа злоумышленников, под названием Blackwood, использует сложное вредоносное ПО под названием NSPX30 для кибершпионских атак против компаний и частных лиц.

Злоумышленники активны по крайней мере с 2018 года, используя вредоносное ПО NSPX30 — имплантат с кодовой базой, основанный на простом бэкдоре 2005 года, после атак «злоумышленник посередине» (AitM).

Исследователи компании по кибербезопасности обнаружили Blackwood и имплант NSPX30 в ходе кампании в 2020 году и полагают, что деятельность группы соответствует государственным интересам Китая.

Целью Blackwood являются Китай, Япония и Великобритания. Вредоносное ПО доставлялось через механизмы обновления законного программного обеспечения, такого как WPS Office (офисный пакет), платформу обмена мгновенными сообщениями Tencent QQ и редактор документов Sogou Pinyin.

По мнению исследователей, Blackwood осуществляет атаки AitM и перехватывает трафик, генерируемый NSPX30, чтобы скрыть свою деятельность и скрыть свои серверы управления и контроля (C2).

Эксперты также отмечают, что Blackwood, возможно, разделяет доступ с другими китайскими группами APT. Специалисты по безопасности заметили, что система одной компании подверглась атаке наборов инструментов, связанных с несколькими участниками, например, Evasive Panda, LuoYu и LittleBear.

Происхождение и эволюция NSPX30

NSPX30 — это сложный имплант, основанный на коде бэкдора 2005 года под названием «Project Wood», который имел элементарные возможности для сбора системных данных, кейлогинга и создания снимков экрана.

Среди других имплантатов, появившихся в рамках Project Wood, был DCM (Dark Spectre), впервые появившийся в сети в 2008 году и обладающий множеством функциональных улучшений.

Эксперты считают, что NSPX30 произошел от DCM, а первый известный образец вредоносного ПО был зарегистрирован в 2018 году.

В отличие от своих предшественников, NSPX30 отличается многоступенчатой архитектурой, включающей такие компоненты, как дроппер, установщик DLL с обширными возможностями обхода UAC, загрузчик, оркестратор и бэкдор, каждый из которых имеет собственный набор плагинов.

NSPX30 демонстрирует значительный технический прогресс благодаря возможностям перехвата пакетов для сокрытия своей инфраструктуры, что позволяет ей работать скрытно. У него также есть механизмы, которые добавляют его в белые списки китайских инструментов защиты от вредоносных программ, чтобы избежать обнаружения.

Основная функция NSPX30 — сбор информации из взломанной системы, включая файлы, снимки экрана, нажатия клавиш, данные об оборудовании и сети, а также учетные данные.

Бэкдор также может украсть журналы чатов и списки контактов из Tencent QQ, WeChat, Telegram, Skype, CloudChat, RaidCall, YY и AliWangWang.

Бэкдор также может завершать процессы по PID, создавать обратную оболочку, перемещать файлы по указанным путям или удалять себя из зараженной системы.

AitM-атаки

Примечательным аспектом деятельности Blackwood является способность доставлять NSPX30 путем перехвата запросов на обновления, сделанных законным программным обеспечением, включая Tencent QQ, WPS Office и Sogou Pinyin.

Однако это отличается от компрометации цепочки поставок, поскольку Blackwood перехватывает незашифрованную HTTP-связь между системой жертвы и сервером обновлений и производит необходимые действия, чтобы доставить имплантат.

Точный механизм, который позволяет Blackwood перехватывать этот трафик, неизвестен. Эксперты предполагают, что это может быть возможно путем использования имплантата в сетях целей, возможно, на уязвимых устройствах, таких как маршрутизаторы или шлюзы.

Основываясь на своем анализе, исследователи полагают, что оригинальный бэкдор, лежащий в основе эволюции специального имплантата NSPX30, по-видимому, был разработан опытными разработчиками вредоносного ПО.

Компания Mainton - разработка и тестирование программного обеспечения под заказ, DevOps и SRE, SEO и реклама в интернете с 2004 года.

ПЕНТЕСТ БЕЗОПАСНОСТЬ ВЗЛОМАЛИ? МОНИТОРИНГ СТАТЬИ ВАКАНСИИ