Pesquisadores da empresa de segurança cibernética ESET descobriram que os hackers da Blackwood usam o malware NSPX30 em espionagem.
Um ator de ameaças avançadas até então desconhecido, rastreado como ‘Blackwood’, está usando malware sofisticado chamado NSPX30 em ataques de espionagem cibernética contra empresas e indivíduos.
Hackers da Blackwood usam o malware NSPX30 em espionagem
Essa ameaça está ativa desde pelo menos 2018, utilizando o malware NSPX30, um implante com uma base de código enraizada em um backdoor simples de 2005, após ataques de adversary-in-the-middle (AitM).
Pesquisadores da empresa de segurança cibernética ESET descobriram Blackwood e o implante NSPX30 em uma campanha em 2020 e acreditam que as atividades do grupo estão alinhadas com os interesses do Estado chinês.
Os alvos da Blackwood estão na China, no Japão e no Reino Unido e entregaram o malware por meio de mecanismos de atualização de software legítimo como o WPS Office (conjunto de escritório), a plataforma de mensagens instantâneas Tencent QQ e o editor de documentos Sogou Pinyin.
Segundo os pesquisadores, o ator da ameaça realiza ataques AitM e intercepta o tráfego gerado pelo NSPX30 para ocultar suas atividades e ocultar seus servidores de comando e controle (C2).
A ESET também observa que a Blackwood possivelmente compartilha o acesso com outros grupos chineses de APT, pois observou o sistema de uma empresa sendo alvo de kits de ferramentas associados a vários atores, por exemplo, Evasive Panda, LuoYu, e LittleBear.
O NSPX30 é um implante sofisticado baseado no código de um backdoor em 2005 chamado ‘Project Wood’ que tinha recursos elementares para coletar dados do sistema, keylogging e captura de tela.
Entre outros implantes emergentes do Projeto Wood estava o DCM (Dark Spectre), visto pela primeira vez na natureza em 2008, apresentando vários aprimoramentos funcionais.
A ESET acredita que o NSPX30 evoluiu do DCM com a primeira amostra conhecida do malware documentada em 2018.
Ao contrário de seus antecessores, o NSPX30 é caracterizado por sua arquitetura de vários estágios, que inclui componentes como um conta-gotas, um instalador de DLL com amplos recursos de desvio de UAC, um carregador, um orquestrador e um backdoor, cada um com seu próprio conjunto de plug-ins.
O NSPX30 demonstra um avanço técnico significativo, com capacidades de interceptação de pacotes para ocultar sua infraestrutura, permitindo-lhe operar secretamente.
Ele também possui mecanismos que o adicionam a listas de permissões de ferramentas antimalware chinesas para evitar a detecção.
A principal função do NSPX30 é coletar informações do sistema violado, incluindo arquivos, capturas de tela, teclas pressionadas, dados de hardware e rede e credenciais.
O backdoor também pode roubar registros de bate-papo e listas de contatos do Tencent QQ, WeChat, Telegram, Skype, CloudChat, RaidCall, YY e AliWangWang.
O backdoor também pode encerrar processos por PID, criar um shell reverso, mover arquivos para caminhos especificados ou desinstalar-se do sistema infectado.
Um aspecto notável das atividades da Blackwood é a capacidade de fornecer NSPX30 sequestrando solicitações de atualização feitas por software legítimo, incluindo Tencent QQ, WPS Office e Sogou Pinyin.
Porém, isso é diferente de um comprometimento da cadeia de suprimentos, porque a Blackwood intercepta a comunicação HTTP não criptografada entre o sistema da vítima e o servidor de atualização e, em vez disso, intervém para entregar o implante.
O mecanismo exato que permite à Blackwood interceptar esse tráfego é desconhecido. A ESET especula que isso poderia ser possível usando um implante nas redes dos alvos, possivelmente em dispositivos vulneráveis, como roteadores ou gateways.
Com base em sua análise, os pesquisadores acreditam que o backdoor original que está na origem da evolução do implante personalizado NSPX30 parece ter sido desenvolvido por desenvolvedores de malware qualificados.
O relatório da ESET fornece amplos detalhes técnicos sobre o malware e como ele funciona e também inclui uma lista de indicadores de comprometimento que os defensores podem usar para proteger seu ambiente.