Хакеры из Поднебесной нацелились на Запад: что спрятали Blackwood в своём модульном вредоносе NSPX30

Словацкая компания ESET обнаружила деятельность ранее неизвестной группы хакеров, связанной с Китаем, и присвоила ей кодовое имя Blackwood. Группа активна с 2018 года и специализируется на атаках типа «противник в середине» (AitM), при которых перехватываются запросы на обновление легитимного ПО для доставки сложного имплантата NSPX30.

Имплантат NSPX30 обнаружен в механизмах обновления известных программ, таких как Tencent QQ, WPS Office и Sogou Pinyin. Целью атак стали производственные, торговые и инженерные компании, а также частные лица в Китае, Японии и Великобритании.

NSPX30 представляет собой многоступенчатый имплантат, включающий в себя дроппер, инсталлятор, загрузчик, оркестратор и бэкдор, каждый из которых имеет свой набор плагинов, по словам исследователя безопасности Факундо Муньоса.

Имплантат способен перехватывать пакеты данных, что позволяет операторам NSPX30 скрывать свою инфраструктуру. Бэкдор также способен обходить целый ряд антивирусных решений, добавляя себя в белый список.

Происхождение бэкдора связано с другим вредоносным ПО, названным Project Wood (2005 год), которое использовалось для сбора системной и сетевой информации, записи нажатий клавиш и создания скриншотов на заражённых системах.

NSPX30 активируется при попытках скачать обновления ПО с легитимных серверов по нешифрованному протоколу HTTP, что приводит к компрометации системы и развёртыванию вредоносного DLL.

Загруженный в ходе компрометированного процесса обновления вредоносный дроппер создаёт несколько файлов на диске и запускает «RsStub.exe» для активации «comx3.dll» методом DLL Sideloading.

Оркестратор NSPX30 создаёт два потока для получения бэкдора и загрузки его плагинов, а также добавляет исключения для обхода китайских антивирусных решений.

Бэкдор загружается через HTTP-запрос на сайт китайской поисковой системы Baidu, маскируя запрос под Internet Explorer на Windows 98. После этого ответ с сервера сохраняется в файле, откуда извлекается и загружается компонент бэкдора.

NSPX30 также создаёт пассивный UDP-сокет для приёма команд от управляющего и эксфильтрации данных, вероятно, перехватывая пакеты DNS-запросов для анонимизации своей C2-инфраструктуры.

Команды бэкдора позволяют создавать обратную оболочку, собирать информацию о файлах, завершать определённые процессы, делать скриншоты, регистрировать нажатия клавиш и даже удалять себя с заражённой машины.

Это открытие является важным напоминанием о том, что киберугрозы постоянно развиваются и требуют непрерывного внимания и совершенствования защитных механизмов организациями по всему миру, особенно в сфере критически важных инфраструктур.