Исследователи ESET представили анализ атаки, осуществленной ранее не раскрывавшимся китайским агентом угроз, которого ESET назвали Blackwood и который действует по меньшей мере с 2018 года. Злоумышленники поставляют сложный имплант, который назвали NSPX30, с помощью атак "противник посередине" (AitM), перехватывающих запросы на обновление от легитимного программного обеспечения.
- NSPX30 внедряется через механизмы обновления легитимного программного обеспечения, такого как Tencent QQ, WPS Office и Sogou Pinyin
- Имплант обнаружен в целевых атаках на китайские и японские компании, а также на частных лиц, находящихся в Китае, Японии и Великобритании.
- Исследование ESET проследило эволюцию NSPX30 до небольшого бэкдора 2005 года, который назвали Project Wood и который предназначался для сбора данных о жертвах.
- NSPX30 - это многоступенчатый имплант, включающий в себя несколько компонентов, таких как дроппер, инсталлятор, загрузчики, оркестратор и бэкдор. Оба последних имеют собственные наборы плагинов.
- Имплант был разработан с учетом возможностей злоумышленников по перехвату пакетов, что позволяет операторам NSPX30 скрывать свою инфраструктуру.
- NSPX30 также способен вносить себя в списки нескольких китайских антивирусных решений.
- ESET связываем эту активность с новой APT-группой, которую мы назвали Blackwood.
Indicators of Compromise
IPv4
- 183.134.93.171
Domains
- dl_dir.qq.com
SHA1
- 240055aa125bd31bf5ba23d6c30133c5121147a5
- 308616371b9ff5830dffc740318fd6ba4260d032
- 43622b9573413e17985b3a95cbe18cfe01fadf42
- 44f50a81debf68f4183eaebc08a2a4cd6033dd91
- 625bef5bd68f75624887d732538b7b01e3507234
- 796d05f299f11f1d78fbbb3f6e1f497bc3325164
- 82295e138e89f37dd0e51b1723775cbe33d26475
- 8296a8e41272767d80df694152b9c26b607d26ee
- 8936bd9a615dd859e868448cabcd2c6a72888952
- 9d74fe1862aabae67f9f2127e32b6efa1bc592e9
- acd6cd486a260f84584c9ff7409331c65d4a2f4a
- af85d79bc16b691f842964938c9619ffd1810c30
- db6aec90367203caac9d9321fde2a7f2fe2a0fb6