一个被追踪为“Blackwood”的先前未知的高级威胁参与者正在使用名为 NSPX30 的复杂恶意软件对公司和个人进行网络间谍攻击。
攻击者至少从 2018 年起就一直在积极利用 NSPX30 恶意软件,该恶意软件的代码库植根于 2005 年的简单后门,继中间对手 (AitM) 攻击之后。
网络安全公司 ESET 的研究人员在 2020 年的一次活动中发现了 Blackwood 和 NSPX30 植入程序
Blackwood目标在哪
Blackwood的目标集中在中国、日本和英国,通过WPS Office(办公套件)、腾讯QQ即时通讯平台、搜狗拼音文档编辑器等正版软件的更新机制传播恶意软件。
研究人员表示,威胁行为者实施 AitM 攻击并拦截 NSPX30 生成的流量,以隐藏其活动并隐藏其命令和控制 (C2) 服务器。
NSPX30 的起源和演变
NSPX30 是一种复杂的植入程序,基于 2005 年名为“Project Wood”的后门代码,该后门具有收集系统数据、键盘记录和屏幕截图的基本功能。
Wood 项目中出现的其他植入物包括 DCM(黑暗幽灵),它于 2008 年首次在野外出现,具有多种功能增强功能。
ESET 认为 NSPX30 是从 DCM 演变而来的,第一个已知的恶意软件样本记录于 2018 年。
进化时间表
与之前的版本不同,NSPX30 的特点是多级架构,其中包括释放器、具有广泛 UAC 绕过功能的 DLL 安装程序、加载器、编排器和后门等组件,每个组件都有自己的一组插件。
NSPX30 展示了重大的技术进步,具有数据包拦截功能以隐藏其基础设施,使其能够秘密运行。它还具有将其添加到中国反恶意软件工具的白名单中以逃避检测的机制。
NSPX30 的主要功能是从被破坏的系统收集信息,包括文件、屏幕截图、按键、硬件和网络数据以及凭据。
该后门还可以窃取腾讯QQ、微信、Telegram、Skype、CloudChat、RaidCall、YY 和 AliWangWang 的聊天记录和联系人列表。
后门还可以通过 PID 终止进程、创建反向 shell、将文件移动到指定路径或从受感染的系统中卸载自身。
执行链
AitM 攻击
Blackwood 活动的一个值得注意的方面是能够通过劫持合法软件(包括腾讯 QQ、WPS Office 和搜狗拼音)发出的更新请求来传递 NSPX30。
但这与供应链妥协不同,因为 Blackwood 拦截受害者系统和更新服务器之间未加密的 HTTP 通信,并进行干预以传递植入程序。
NSPX30加载图
Blackwood 首先拦截该流量的确切机制尚不清楚。ESET 推测,通过在目标网络中使用植入程序(可能是在路由器或网关等易受攻击的设备上)
#数据泄露##评论区出主意大赛##看见人间百态##评论区送祝福##评论区评评理##网络安全##0day##安全漏洞##黑客#