ESET Research ontdekte dat het NSPX30-implantaat ingezet wordt via de updatemechanismen van legitieme software, zoals Tencent QQ, WPS Office en Sogou Pinyin, en schrijft dit toe aan een nieuwe, aan China gelinkte APT-groep die het Blackwood noemde.
· ESET ontdekte het implantaat bij aanvallen zowel tegen Chinese als Japanse bedrijven, maar ook tegen personen in het Verenigd Koninkrijk, China en Japan. Het doel van de aanval is cyberspionage.
· Het implantaat is ontworpen rond de mogelijkheid voor aanvallers om pakketten te onderscheppen, zodat NSPX30-operatoren hun infrastructuur kunnen verbergen.
BRATISLAVA, MONTREAL, 25 januari 2024 — ESET-onderzoekers hebben NSPX30 ontdekt, een geavanceerd implantaat dat gebruikt wordt door een nieuwe, aan China gelinkte APT-groep, die het Blackwood noemde. Blackwood maakt gebruik van ‘adversary-in-the-middle’-technieken om updateverzoeken van legitieme software te kapen en zo het implantaat te leveren. Het heeft cyberspionage-operaties uitgevoerd tegen personen en bedrijven uit het Verenigd Koninkrijk, China en Japan. ESET linkte de evolutie van NSPX30 aan een voorouder – een eenvoudige backdoor die het ‘Project Wood’ noemde. De oudste staal die het kon vinden, dateert uit 2005.
ESET Research noemde Blackwood en de achterdeur Project Wood, op basis van een terugkerend thema in een mutex-naam. Een mutex, of wederzijdse uitsluiting, is een synchronisatietool die gebruikt wordt om de toegang tot een gedeelde bron te controleren. Gezien de gebruikte technieken blijkt het Project Wood-implantaat uit 2005 het werk te zijn van ontwikkelaars met ervaring in het creëren van malware. ESET denkt dat de aan China gelinkte groep die het Blackwood noemde, al sinds 2018 actief zijn. In 2020 heeft ESET een golf van kwaadaardige activiteiten gedetecteerd, gericht op een systeem in China. Het toestel was een zogenaamde ‘bedreigingsmagneet’ geworden. ESET Research had pogingen van aanvallers ontdekt om malwaretoolkits te gebruiken die gelinkt waren aan diverse APT-groepen.
Volgens de ESET-telemetrie is het NSPX30-implantaat onlangs op een beperkt aantal systemen gedetecteerd. Bij de slachtoffers zijn niet-geïdentificeerde personen in China en Japan, een niet-geïdentificeerde Chineessprekende persoon verbonden aan een vooraanstaande openbare onderzoeksuniversiteit in het Verenigd Koninkrijk, een groot productie- en handelsbedrijf in China, en de Chinese kantoren van een Japans bedrijf in de engineering- en productiesector. ESET heeft ook ontdekt dat de aanvallers de systemen opnieuw proberen te compromitteren als ze de toegang verloren zijn.
NSPX30 is een implantaat met meerdere niveaus en meerdere componenten zoals een dropper, een installatieprogramma, laders, een leider en een backdoor. Laatstgenoemde componenten hebben hun eigen sets plug-ins die spionagemogelijkheden installeren voor diverse toepassingen, zoals onder andere Skype, Telegram, Tencent QQ en WeChat. Het is ook in staat zichzelf op de toelatingslijst te zetten in verschillende Chinese antimalware-oplossingen.
Dankzij de ESET-telemetrie heeft ESET Research vastgesteld dat machines worden gecompromitteerd als ze legitieme software updates proberen te downloaden van legitieme servers met behulp van het (niet-versleutelde) HTTP-protocol. Gekaapte software-updates omvatten updates voor populaire Chinese software, zoals Tencent QQ, Sogou Pinyin en WPS Office. Het basisdoel van de backdoor is te communiceren met zijn controller en het exfiltreren van de verzamelde gegevens. Die is in staat schermafbeeldingen en keylogs te maken alsook diverse informatie te verzamelen.
Door het vermogen om data te onderscheppen, kunnen de aanvallers hun echte infrastructuur onzichtbaar maken, terwijl de leider en de backdoor contact leggen met legitieme netwerken, eigendom van Baidu Inc., om nieuwe componenten te downloaden of verzamelde informatie te exfiltreren. ESET is de mening toegedaan dat het kwaadaardige, maar legitiem ogende verkeer dat door NSPX30 wordt gegenereerd, doorgestuurd wordt naar de infrastructuur van de echte aanvallers via het onbekende onderscheppingsmechanisme dat ook adversary-in-the-middle-aanvallen uitvoert.
“Hoe de aanvallers NSPX30 in de vorm van kwaadaardige updates kunnen leveren, is ons onbekend. De tool die de aanvallers in staat stelt hun doelwit in de eerste plaats te compromitteren, moeten we nog ontdekken”, zegt Facundo Muñoz, de ESET-onderzoeker die NSPX30 en Blackwood ontdekte. “Gebaseerd op onze eigen ervaring met aan China gelinkte piraten die deze mogelijkheden hebben, alsook op recent onderzoek naar routerimplantaten van MustangPanda, een andere aan China gelinkte groep, speculeren we dat de aanvallers een netwerkimplantaat binnen de netwerken van de slachtoffers inzetten. Mogelijk gebeurt dit op kwetsbare netwerkapparatuur, zoals routers of gateways”, aldus Muñoz.
Voor meer technische informatie over Blackwood, de nieuwe, aan China gelinkte, APT-groep en zijn nieuwste NSPX30-implantaat, ga naar:“NSPX30: A sophisticated AitM-enabled implant evolving since 2005.” Volg ook ESET Research op Twitter (vandaag bekend als X) voor de nieuwste info omtrent ESET Research.