Pesquisadores da ESET revelaram a existência de uma campanha de descarte de uma ameaça persistente avançada (APT) altamente sofisticada, conhecida como NSPX30, que foi associada a um grupo recém-identificado como Blackwood. As descobertas, que foram detalhadas numa publicação de quarta-feira, 24, no blog da fornecedora de cibersegurança, indicam que o Blackwood tem estado ativamente envolvido em espionagem cibernética desde pelo menos 2018.
Do ponto de vista técnico, o NSPX30 é entregue através de uma técnica de ataque chamada man-in-the-middle (MiTM) — ou adversary-in-the-middle (AiTM), como também é conhecida —, explorando solicitações de atualização de software legítimo, como Tencent QQ, WPS Office e Sogou Pinyin.
Os invasores empregam técnicas AitM para ocultar os servidores de comando e controle (C&C) do implante, interceptando o tráfego, um método que se mostrou eficaz contra organizações chinesas e japonesas, bem como contra indivíduos na China, no Japão e no Reino Unido.
A evolução do NSPX30 remonta a uma backdoor conhecida como Projeto Wood, que foi identificada em 2005 e desenvolvida para coletar dados das vítimas. O NSPX30, agora atua como um implante de vários estágios e consiste em componentes como conta-gotas, instalador, carregadores, orquestrador e backdoor com plug-ins associados. Ele permite que os invasores realizem a interceptação de pacotes, auxiliando na ocultação de sua infraestrutura. Ele também pode se colocar na lista de permissões de várias soluções antimalware chinesas.
O Blackwood teve um aumento da atividade maliciosa em 2020, visando principalmente sistemas na China. As vítimas incluem indivíduos não identificados na China e no Japão, um indivíduo não identificado de língua chinesa conectado à rede de uma universidade pública de pesquisa de alto nível no Reino Unido, uma grande empresa de manufatura e comércio na China e o escritório chinês de uma empresa japonesa de engenharia e fabricação.
Veja isso
Espiões chineses exploraram bug no VMware vCenter desde 2021
Google alerta que China está elevando ciberataques a Taiwan
O APT é implantado quando software legítimo tenta baixar atualizações de servidores usando protocolos HTTP não criptografados. A telemetria da ESET revelou que o NSPX30 usa a técnica AitM para interceptar pacotes, potencialmente através de um implante de rede, ocultando efetivamente a localização da sua infraestrutura C&C.
“Como exatamente os invasores são capazes de entregar o NSPX30 como atualizações maliciosas permanece desconhecido para nós, pois ainda não descobrimos a ferramenta que permite a eles comprometer seus alvos inicialmente”, disse o pesquisador da ESET Facundo Muñoz, que descobriu o NSPX30 e o Blackwood. “No entanto, com base em nossa experiência com operadores de ameaças alinhados à China que exibem essas capacidades, bem como em pesquisas recentes sobre implantes de roteadores atribuídos a outro grupo alinhado à China, o MustangPanda, especulamos que os invasores estão fazendo um implante dentro das redes das vítimas, possivelmente em dispositivos de rede vulneráveis, como roteadores ou gateways”, explica Muñoz.
Para ter acesso aos detalhes do implante do NSPX30 pelo Blackwood acesse o blog da ESET clicando aqui.