斯洛伐克网络安全公司ESET发现了一个以前不为人知的与中国有关的黑客组织的运作,并为其命名,代号为Blackwood。自 2018 年以来,该组织一直活跃于中间对手 (AitM),拦截合法的软件更新请求以提供复杂的 NSPX30 植入物。
这些攻击是在腾讯QQ、WPS Office和搜狗拼音等知名程序的更新机制中发现的,针对的是中国、日本和英国的制造、商业和工程公司以及个人。
NSPX30 是一个多阶段植入物,包括一个滴管、安装程序、加载器、编排器和后门,每个都有自己的插件集,据安全研究员 Facundo Muñoz 称。
布莱克伍德受害者的地理分布
NSPX30 运营商能够拦截数据包,可以隐藏其基础设施。后门还通过将自身添加到白名单中来规避一系列防病毒解决方案。
后门的起源与另一种名为 Project Wood (2005) 的恶意软件有关,该恶意软件用于收集系统和网络信息、击键记录以及在受感染的系统上创建屏幕截图。
当尝试通过未加密的 HTTP 协议从合法服务器下载软件更新时,会触发 NSPX30,从而破坏系统并部署恶意 DLL。
在受感染的更新过程中创建的恶意删除程序会在磁盘上生成多个文件,并通过 DLL 旁加载启动“RsStub.exe”以激活“comx3.dll”。
NSPX30 的编排器建立了两个线程来接收后门和下载其插件,并添加了例外以绕过中国防病毒解决方案。
后门通过HTTP请求下载到中国搜索引擎百度,将请求伪装成来自Windows 98上的Internet Explorer。来自服务器的响应将保存到一个文件,从中提取和加载后门组件。
NSPX30 还创建了一个被动 UDP 套接字,用于接收来自控制器的命令并泄露数据,可能会拦截 DNS 请求数据包以匿名化其 C2 基础架构。
后门命令支持创建反向 shell、文件信息收集、终止特定进程、截屏、击键记录,甚至从受感染的机器中自行删除。
这一发现提醒我们,网络威胁在不断演变,需要全球组织持续保持警惕和完善保护机制,尤其是在关键基础设施领域。
相关文章
网友评论(共有 0 条评论)
