นักวิจัยของ ESET ให้การวิเคราะห์การโจมตีที่ดำเนินการโดยผู้คุกคามที่เกี่ยวข้องกับจีนซึ่งไม่เปิดเผยก่อนหน้านี้ซึ่งเราตั้งชื่อว่า Blackwood และเราเชื่อว่าได้ดำเนินการมาตั้งแต่ปี 2018 เป็นอย่างน้อย ผู้โจมตีส่งอุปกรณ์ฝังที่ซับซ้อนซึ่งเราตั้งชื่อว่า NSPX30 ผ่านทางฝ่ายตรงข้าม -in-the-middle (AitM) โจมตีเพื่อแย่งชิงคำขออัปเดตจากซอฟต์แวร์ที่ถูกกฎหมาย

ประเด็นสำคัญในโพสต์บล็อกนี้:

• เราค้นพบว่ามีการปรับใช้ NSPX30 ผ่านกลไกการอัปเดตของซอฟต์แวร์ที่ถูกต้องตามกฎหมาย เช่น Tencent QQ, WPS Office และ Sogou Pinyin
• เราตรวจพบการฝังในการโจมตีแบบกำหนดเป้าหมายต่อบริษัทจีนและญี่ปุ่น รวมถึงบุคคลที่อยู่ในประเทศจีน ญี่ปุ่น และสหราชอาณาจักร
• งานวิจัยของเราติดตามวิวัฒนาการของ NSPX30 ย้อนกลับไปถึงประตูหลังเล็กๆ ตั้งแต่ปี 2005 ที่เราตั้งชื่อว่า Project Wood ซึ่งออกแบบมาเพื่อรวบรวมข้อมูลจากเหยื่อของมัน
• NSPX30 เป็นอุปกรณ์ปลูกถ่ายแบบหลายขั้นตอนที่มีส่วนประกอบหลายอย่าง เช่น ตัวหยด ตัวติดตั้ง ตัวโหลด ตัวจัดการออเคสตรา และประตูหลัง ทั้งสองอย่างหลังมีชุดปลั๊กอินของตัวเอง
• อุปกรณ์ฝังนี้ได้รับการออกแบบโดยคำนึงถึงความสามารถของผู้โจมตีในการสกัดกั้นแพ็กเก็ต ซึ่งช่วยให้ผู้ปฏิบัติงาน NSPX30 สามารถซ่อนโครงสร้างพื้นฐานของตนได้
• NSPX30 ยังสามารถแสดงรายการตัวเองในโซลูชันป้องกันมัลแวร์ของจีนหลายตัวได้
• เราถือว่ากิจกรรมนี้เป็นกลุ่ม APT ใหม่ที่เราตั้งชื่อว่า Blackwood

โปรไฟล์ของแบล็ควูด

Blackwood เป็นกลุ่ม APT ในเครือจีน ซึ่งดำเนินธุรกิจมาตั้งแต่ปี 2018 เป็นอย่างน้อย โดยมีส่วนร่วมในการปฏิบัติการจารกรรมทางไซเบอร์ต่อบุคคลและบริษัทของจีนและญี่ปุ่น Blackwood มีความสามารถในการโจมตีศัตรูที่อยู่ตรงกลางเพื่อส่งมอบอุปกรณ์เทียมที่เราตั้งชื่อว่า NSPX30 ผ่านการอัพเดตซอฟต์แวร์ที่ถูกต้องตามกฎหมาย และเพื่อซ่อนตำแหน่งของเซิร์ฟเวอร์คำสั่งและควบคุมโดยการสกัดกั้นการรับส่งข้อมูลที่สร้างโดยอุปกรณ์ฝัง

ภาพรวมของแคมเปญ

ในปี 2020 มีการตรวจพบกิจกรรมที่เป็นอันตรายจำนวนมากบนระบบเป้าหมายที่ตั้งอยู่ในจีน เครื่องนี้กลายเป็นสิ่งที่เรามักเรียกกันว่า "แม่เหล็กดึงดูด" เนื่องจากเราตรวจพบความพยายามของผู้โจมตีในการใช้ชุดเครื่องมือมัลแวร์ที่เกี่ยวข้องกับกลุ่ม APT ต่างๆ: แพนด้าที่หลบเลี่ยง, หลัวยูและผู้แสดงภัยคุกคามคนที่สามที่เราติดตามในชื่อ LittleBear

ในระบบนั้น เรายังตรวจพบไฟล์ที่น่าสงสัยซึ่งไม่ได้อยู่ในชุดเครื่องมือของทั้งสามกลุ่มนั้น สิ่งนี้ทำให้เราเริ่มการตรวจสอบรากเทียมที่เราตั้งชื่อว่า NSPX30 เราสามารถติดตามวิวัฒนาการของมันย้อนกลับไปถึงปี 2005 ได้

ตามการวัดและส่งข้อมูลทางไกลของ ESET ตรวจพบการฝังบนอุปกรณ์จำนวนไม่มาก ผู้เสียหายได้แก่:

• บุคคลที่ไม่ปรากฏชื่อที่อยู่ในประเทศจีนและญี่ปุ่น
• บุคคลที่พูดภาษาจีนไม่ปรากฏชื่อซึ่งเชื่อมต่อกับเครือข่ายของมหาวิทยาลัยวิจัยสาธารณะที่มีชื่อเสียงในสหราชอาณาจักร
• บริษัทผู้ผลิตและการค้าขนาดใหญ่ในประเทศจีน และ
• สำนักงานในประเทศจีนของบริษัทญี่ปุ่นในสาขาวิศวกรรมและการผลิต

นอกจากนี้เรายังสังเกตเห็นว่าผู้โจมตีพยายามที่จะประนีประนอมระบบอีกครั้งหากสูญเสียการเข้าถึง

รูปที่ 1 คือการกระจายทางภูมิศาสตร์ของเป้าหมายของ Blackwood ตามการวัดและส่งข้อมูลทางไกลของ ESET

วิวัฒนาการของ NSPX30

ในระหว่างการวิจัยประสาทเทียม NSPX30 เราได้เชื่อมโยงวิวัฒนาการของมันกลับไปถึงบรรพบุรุษในยุคแรก ซึ่งเป็นประตูหลังที่เรียบง่ายที่เราตั้งชื่อว่า Project Wood ตัวอย่าง Project Wood ที่เก่าแก่ที่สุดที่เราพบนั้นรวบรวมในปี 2005 และดูเหมือนว่าจะถูกใช้เป็นโค้ดเบสในการสร้างรากฟันเทียมหลายชิ้น อุปกรณ์ปลูกถ่ายดังกล่าวชนิดหนึ่งซึ่งมีการพัฒนา NSPX30 ได้รับการตั้งชื่อว่า DCM โดยผู้เขียนในปี 2008

รูปที่ 2 แสดงให้เห็นลำดับเวลาของการพัฒนาเหล่านี้ โดยอิงตามการวิเคราะห์ตัวอย่างในคอลเลกชันของเราและการวัดและส่งข้อมูลทางไกลของ ESET รวมถึงเอกสารสาธารณะ อย่างไรก็ตาม เหตุการณ์และข้อมูลที่บันทึกไว้ในที่นี้ยังคงเป็นภาพที่ไม่สมบูรณ์ของการพัฒนาและกิจกรรมที่เป็นอันตรายเกือบสองทศวรรษโดยผู้ก่อภัยคุกคามจำนวนหนึ่งที่ไม่รู้จัก

ในส่วนต่อไปนี้ เราจะอธิบายการค้นพบบางส่วนของเราเกี่ยวกับ Project Wood, DCM และ NSPX30

โครงการไม้

จุดเริ่มต้นในวิวัฒนาการของการปลูกถ่ายเหล่านี้คือประตูหลังเล็กๆ ที่รวบรวมเมื่อวันที่ 9 มกราคม^th, 2005 ตามการประทับเวลาที่มีอยู่ในส่วนหัว PE ของส่วนประกอบทั้งสอง - ตัวโหลดและประตูหลัง อย่างหลังมีความสามารถในการรวบรวมข้อมูลระบบและเครือข่ายตลอดจนบันทึกการกดแป้นพิมพ์และถ่ายภาพหน้าจอ

เราตั้งชื่อแบ็คดอร์ Project Wood ตามชื่อ mutex ที่เกิดซ้ำ ดังแสดงในรูปที่ 3

การประทับเวลาการรวบรวมเป็นตัวบ่งชี้ที่ไม่น่าเชื่อถือ เนื่องจากผู้โจมตีสามารถแก้ไขได้ ดังนั้น ในกรณีนี้ เราจึงพิจารณาจุดข้อมูลเพิ่มเติม ขั้นแรก การประทับเวลาจากส่วนหัว PE ของตัวโหลดและตัวอย่างประตูหลัง ดูตารางที่ 1 เวลาในการคอมไพล์ของทั้งสองส่วนประกอบต่างกันเพียง 17 วินาที

ตารางที่ 1 การประทับเวลาการรวบรวม PE ในส่วนประกอบจากตัวอย่างปี 2005

SHA-1	ชื่อไฟล์	การประทับเวลาการรวบรวม PE	รายละเอียด
9A1B575BCA0DC969B134 4651F16514660D1B78A6	MainFuncOften.dll	2005-01-09 08:21:22	โครงการประตูหลังไม้ การประทับเวลาจากตารางส่งออกตรงกับการประทับเวลาการคอมไพล์ PE
834EAB42383E171DD6A4 2F29A9BA1AD8A44731F0	N / A	2005-01-09 08:21:39	ตัวโหลด Project Wood มีประตูหลังที่ฝังไว้เป็นทรัพยากร

 

จุดข้อมูลที่สองมาจากตัวอย่างหยดที่ถูกบีบอัดโดยใช้ ส่วนขยาย UPX. เครื่องมือนี้จะแทรกเวอร์ชัน (รูปที่ 4) ลงในไฟล์บีบอัดผลลัพธ์ - ในกรณีนี้คือ UPX เวอร์ชัน 1.24 ซึ่งก็คือ เผยแพร่ใน 2003ก่อนวันรวบรวมตัวอย่าง

จุดข้อมูลที่สามคือข้อมูลเมตาที่ถูกต้องจาก PE Rich Headers (รูปที่ 5) ซึ่งระบุว่าตัวอย่างถูกคอมไพล์โดยใช้ Visual Studio 6.0 เผยแพร่ใน 1998ก่อนวันรวบรวมตัวอย่าง

เราประเมินว่าไม่น่าเป็นไปได้ที่การประทับเวลา ข้อมูลเมตา Rich Headers และเวอร์ชัน UPX จะถูกจัดการโดยผู้โจมตี

เอกสารสาธารณะ

ตาม เอกสารทางเทคนิค เผยแพร่โดยสถาบัน SANS เมื่อเดือนกันยายน พ.ศ. 2011 มีการใช้แบ็คดอร์ที่ไม่มีชื่อและไม่มีการระบุแหล่งที่มา (Project Wood) เพื่อกำหนดเป้าหมายบุคคลสำคัญทางการเมืองจากฮ่องกงผ่านอีเมลฟิชชิ่ง

ในเดือนตุลาคม 2014 G DATA เผยแพร่ a รายงาน ของแคมเปญชื่อ Operation TooHash ซึ่งนับตั้งแต่นั้นมาก็มีสาเหตุมาจาก เจลเซเมียม เอพีที กรุ๊ป. รูทคิท G DATA ชื่อ DirectsX โหลดตัวแปรของประตูหลัง Project Wood (ดูรูปที่ 6) พร้อมคุณสมบัติบางอย่างที่เห็นใน DCM และใหม่กว่าใน NSPX30 เช่น การอนุญาตรายการตัวเองในผลิตภัณฑ์ความปลอดภัยทางไซเบอร์ (รายละเอียดภายหลังในตารางที่ 4)

DCM หรือที่รู้จักกันในชื่อ Dark Spectre

Project Wood ยุคแรกทำหน้าที่เป็นฐานรหัสสำหรับหลายโครงการ หนึ่งในนั้นคือการปลูกถ่ายที่เรียกว่า DCM (ดูรูปที่ 7) โดยผู้เขียน

รายงานจาก Tencent ในปี 2016 อธิบายถึงตัวแปร DCM ที่ได้รับการพัฒนามากขึ้นซึ่งอาศัยความสามารถของ AitM ของผู้โจมตีเพื่อโจมตีเหยื่อโดยส่งตัวติดตั้ง DCM เป็นการอัพเดตซอฟต์แวร์ และเพื่อขโมยข้อมูลผ่านคำขอ DNS ไปยังเซิร์ฟเวอร์ที่ถูกต้อง ครั้งสุดท้ายที่เราสังเกตเห็น DCM ใช้ในการโจมตีคือในปี 2018

เอกสารสาธารณะ

DCM ได้รับการบันทึกครั้งแรกโดยบริษัทจีน เจียงมินในปี 2012แม้ว่า ณ จุดนั้นจะไม่มีใครตั้งชื่อ และต่อมาก็ถูกตั้งชื่อว่า Dark Spectre โดย เทนเซ็นต์ในปี 2016.

NSPX30

ตัวอย่างที่เก่าแก่ที่สุดของ NSPX30 ที่เราพบถูกรวบรวมเมื่อวันที่ 6 มิถุนายน^thปี 2018 NSPX30 มีการกำหนดค่าองค์ประกอบที่แตกต่างจาก DCM เนื่องจากการดำเนินการถูกแบ่งออกเป็นสองขั้นตอน โดยอาศัยความสามารถ AitM ของผู้โจมตีอย่างเต็มที่ รหัสของ DCM ถูกแบ่งออกเป็นส่วนประกอบเล็กๆ

เราตั้งชื่อการปลูกถ่ายตามเส้นทาง PDB ที่พบในตัวอย่างปลั๊กอิน:

• Z:พื้นที่ทำงานmm32NSPX30ปลั๊กอินปลั๊กอินb001.pdb
• Z:WorkspaceCodeMMX30ProtrunkMMPluginshookdllReleasehookdll.pdb

เราเชื่อว่า NSP อ้างถึงเทคนิคการคงอยู่: DLL ของตัวโหลดถาวร ซึ่งมีชื่ออยู่บนดิสก์ msnsp.dllมีชื่ออยู่ภายใน mynsp.dll (ตามข้อมูล Export Table) อาจเป็นเพราะติดตั้งเป็น Winsock nAMEsก้าว pโรไวเดอร์ (NSP)

สุดท้ายนี้ เท่าที่เราทราบ NSPX30 ยังไม่ได้รับการจัดทำเอกสารต่อสาธารณะก่อนที่จะมีการเผยแพร่นี้

การวิเคราะห์ทางเทคนิค

เมื่อใช้การตรวจวัดทางไกลของ ESET เราพบว่าเครื่องถูกบุกรุกเมื่อซอฟต์แวร์ที่ถูกกฎหมายพยายามดาวน์โหลดการอัพเดตจากเซิร์ฟเวอร์ที่ถูกกฎหมายโดยใช้โปรโตคอล HTTP (ที่ไม่ได้เข้ารหัส) การอัปเดตซอฟต์แวร์ที่ถูกแย่งชิงนั้นรวมถึงซอฟต์แวร์ยอดนิยมของจีน เช่น Tencent QQ, Sogou Pinyin และ WPS Office

ภาพประกอบของห่วงโซ่การดำเนินการดังที่เห็นในการวัดและส่งข้อมูลทางไกลของ ESET แสดงในรูปที่ 8

ในตารางที่ 2 เราแสดงตัวอย่าง URL และที่อยู่ IP ซึ่งโดเมนได้รับการแก้ไขบนระบบของผู้ใช้ ณ เวลาที่ดาวน์โหลดเกิดขึ้น

ตารางที่ 2. URL ที่สังเกตได้, ที่อยู่ IP ของเซิร์ฟเวอร์ และชื่อกระบวนการของส่วนประกอบตัวดาวน์โหลดที่ถูกต้อง

URL	เห็นครั้งแรก	ที่อยู่ IP	ASN	ดาวน์โหลด
http://dl_dir.qq[.]com/ invc/qq/minibrowser.zip	2021-10-17	183.134.93[.]171	AS58461 (ไชน่าเน็ต)	Tencentdl.exe

ตามข้อมูลการวัดและส่งข้อมูลทางไกลของ ESET และ DNS แบบพาสซีฟ ที่อยู่ IP ที่พบในกรณีอื่นจะเชื่อมโยงกับโดเมนจากบริษัทซอฟต์แวร์ที่ถูกกฎหมาย เราได้ลงทะเบียนการเชื่อมต่อไว้หลายล้านครั้งในบางส่วน และเราเห็นว่าส่วนประกอบซอฟต์แวร์ที่ถูกกฎหมายถูกดาวน์โหลดจากที่อยู่ IP เหล่านั้น

สมมติฐานการปลูกถ่ายเครือข่าย

ผู้โจมตีสามารถส่งมอบ NSPX30 ได้แม่นยำเพียงใด เนื่องจากเรายังไม่ทราบถึงการอัปเดตที่เป็นอันตราย เนื่องจากเรายังไม่พบเครื่องมือที่ช่วยให้ผู้โจมตีสามารถประนีประนอมเป้าหมายของพวกเขาตั้งแต่แรกได้

จากประสบการณ์ของเราเองกับผู้แสดงภัยคุกคามที่อยู่ในแนวเดียวกับจีนซึ่งแสดงความสามารถเหล่านี้ (แพนด้าที่หลบเลี่ยง และ เดอะวิซาร์ดส์) รวมถึงงานวิจัยล่าสุดเกี่ยวกับการปลูกถ่ายเราเตอร์ที่มีสาเหตุมาจาก แบล็คเทค และ คามาโร ดราก้อน (หรือที่รู้จัก มัสแตง แพนด้า) เราคาดการณ์ว่าผู้โจมตีกำลังปรับใช้เครือข่ายเทียมในเครือข่ายของเหยื่อ ซึ่งอาจบนอุปกรณ์เครือข่ายที่มีช่องโหว่ เช่น เราเตอร์หรือเกตเวย์

ข้อเท็จจริงที่เราไม่พบข้อบ่งชี้ของการเปลี่ยนเส้นทางการรับส่งข้อมูลผ่าน DNS อาจบ่งชี้ว่าเมื่อเครือข่ายเสริมที่ตั้งสมมุติฐานสกัดกั้นการรับส่งข้อมูล HTTP ที่ไม่ได้เข้ารหัสที่เกี่ยวข้องกับการอัปเดต ระบบจะตอบกลับด้วยหยดของเครือข่ายเสริม NSPX30 ในรูปแบบของ DLL, ไฟล์ปฏิบัติการ หรือไฟล์เก็บถาวร ZIP ที่มี DLL

ก่อนหน้านี้ เราได้กล่าวไว้ว่าอุปกรณ์ฝัง NSPX30 ใช้ความสามารถในการสกัดกั้นแพ็กเก็ตของผู้โจมตีเพื่อปกปิดชื่อโครงสร้างพื้นฐาน C&C ของตน ในส่วนย่อยต่อไปนี้ เราจะอธิบายวิธีการดำเนินการดังกล่าว

การสกัดกั้น HTTP

ในการดาวน์โหลดแบ็คดอร์ ผู้ดำเนินการดำเนินการร้องขอ HTTP (รูปที่ 9) ไปยังเว็บไซต์ของ Baidu ซึ่งเป็นเครื่องมือค้นหาและผู้ให้บริการซอฟต์แวร์ของจีนที่ถูกกฎหมาย โดยมีคุณลักษณะที่แปลกประหลาด User-Agent ปลอมตัวเป็น Internet Explorer บน Windows 98 การตอบสนองจากเซิร์ฟเวอร์จะถูกบันทึกลงในไฟล์ซึ่งคอมโพเนนต์แบ็คดอร์ถูกแยกและโหลดลงในหน่วยความจำ

พื้นที่ คำขอ-URI เป็นแบบกำหนดเองและรวมข้อมูลจากผู้จัดทำและระบบที่ถูกบุกรุก ในคำขอที่ไม่ถูกสกัดกั้น การออกคำขอดังกล่าวไปยังเซิร์ฟเวอร์ที่ถูกต้องตามกฎหมายจะส่งคืนรหัสข้อผิดพลาด 404 แบ็คดอร์ใช้ขั้นตอนที่คล้ายกันในการดาวน์โหลดปลั๊กอิน โดยใช้วิธีที่แตกต่างออกไปเล็กน้อย คำขอ-URI.

การฝังเครือข่ายจะต้องค้นหาคำขอ HTTP GET www.ไป่ตู้.com ด้วยความเก่าแก่นั้นโดยเฉพาะ User-Agent และวิเคราะห์ คำขอ-URI เพื่อกำหนดว่าจะต้องส่งเพย์โหลดใด

การสกัดกั้น UDP

ในระหว่างการเริ่มต้น ประตูหลังจะสร้างซ็อกเก็ตการฟัง UDP แบบพาสซีฟ และปล่อยให้ระบบปฏิบัติการกำหนดพอร์ต ผู้โจมตีที่ใช้ประตูหลังแบบพาสซีฟอาจมีความซับซ้อนได้ เช่น หากไฟร์วอลล์หรือเราเตอร์ที่ใช้ NAT ป้องกันการสื่อสารขาเข้าจากภายนอกเครือข่าย นอกจากนี้ ตัวควบคุมของรากฟันเทียมจำเป็นต้องทราบที่อยู่ IP และพอร์ตที่แน่นอนของเครื่องที่ถูกบุกรุกเพื่อติดต่อกับประตูหลัง

เราเชื่อว่าผู้โจมตีสามารถแก้ไขปัญหาหลังได้โดยใช้พอร์ตเดียวกับที่ประตูหลังฟังคำสั่งเพื่อขโมยข้อมูลที่รวบรวมมาด้วย ดังนั้นผู้ฝังเครือข่ายจะรู้ได้อย่างแน่ชัดว่าจะส่งต่อแพ็กเก็ตไปที่ใด ตามค่าเริ่มต้น ขั้นตอนการกรองข้อมูลจะเริ่มต้นหลังจากสร้างซ็อกเก็ตแล้ว และประกอบด้วยแบบสอบถาม DNS สำหรับ microsoft.com โดเมน; ข้อมูลที่รวบรวมจะถูกผนวกเข้ากับแพ็กเก็ต DNS รูปที่ 10 แสดงการจับแบบสอบถาม DNS แรกที่ส่งโดยประตูหลัง

แบบสอบถาม DNS แรกถูกส่งไปยัง 180.76.76[.]11:53 (เซิร์ฟเวอร์ที่ไม่ได้เปิดเผยบริการ DNS ใดๆ ณ เวลาที่เขียน) และสำหรับการสืบค้นแต่ละรายการต่อไปนี้ ที่อยู่ IP ปลายทางจะเปลี่ยนเป็นที่อยู่ถัดไป ดังแสดงในรูปที่ 11

พื้นที่ 180.76.76.0/24 เครือข่ายเป็นของ Baidu และที่น่าสนใจคือเซิร์ฟเวอร์บางตัวที่ที่อยู่ IP เหล่านี้เปิดเผยบริการ DNS เช่น 180.76.76.76ซึ่งเป็นของไป่ตู้ บริการ DNS สาธารณะ.

เราเชื่อว่าเมื่อแพ็กเก็ตการสืบค้น DNS ถูกดักจับ เครือข่ายที่ฝังตัวจะส่งต่อแพ็กเก็ตเหล่านั้นไปยังเซิร์ฟเวอร์ของผู้โจมตี อุปกรณ์ฝังสามารถกรองแพ็คเก็ตได้อย่างง่ายดายโดยการรวมค่าหลายค่าเพื่อสร้างลายนิ้วมือ เช่น:

• ที่อยู่ IP ปลายทาง
• พอร์ต UDP (เราสังเกต 53, 4499และ 8000),
• รหัสธุรกรรมของการจับคู่แบบสอบถาม DNS 0xFEAD,
• ชื่อโดเมน และ 
• แบบสอบถาม DNS พร้อมข้อมูลที่ไม่เกี่ยวข้องต่อท้าย

ความคิดสุดท้าย

การใช้ความสามารถของ AitM ของผู้โจมตีเพื่อสกัดกั้นแพ็คเก็ตเป็นวิธีที่ชาญฉลาดในการซ่อนตำแหน่งของโครงสร้างพื้นฐาน C&C ของพวกเขา เราสังเกตเห็นเหยื่อที่อยู่นอกประเทศจีน ซึ่งก็คือในญี่ปุ่นและสหราชอาณาจักร ซึ่งผู้ควบคุมระบบสามารถติดตั้งประตูหลังได้ ผู้โจมตีจึงส่งคำสั่งไปที่ประตูหลังเพื่อดาวน์โหลดปลั๊กอิน ตัวอย่างเช่น เหยื่อจากสหราชอาณาจักรได้รับปลั๊กอินสองตัวที่ออกแบบมาเพื่อรวบรวมข้อมูลและการแชทจาก Tencent QQ ดังนั้นเราจึงรู้ว่าระบบ AitM อยู่ในตำแหน่งและใช้งานได้ และเราต้องสันนิษฐานว่ากลไกการกรองก็เป็นเช่นนั้นเช่นกัน

เซิร์ฟเวอร์บางตัว – เช่นใน 180.76.76.0/24 เครือข่าย - ดูเหมือนจะเป็นเช่นนั้น แคสต์แล้วซึ่งหมายความว่าอาจมีเซิร์ฟเวอร์หลายเครื่องที่ตั้งอยู่ในตำแหน่งทางภูมิศาสตร์ทั่วโลกเพื่อตอบกลับคำขอที่เข้ามา (ถูกต้องตามกฎหมาย) สิ่งนี้ชี้ให้เห็นว่าการสกัดกั้นเครือข่ายมีแนวโน้มที่จะดำเนินการใกล้กับเป้าหมายมากกว่าใกล้กับเครือข่ายของ Baidu การสกัดกั้นจาก ISP ของจีนก็ไม่น่าเป็นไปได้เช่นกัน เนื่องจาก Baidu มีโครงสร้างพื้นฐานเครือข่ายบางส่วนอยู่นอกประเทศจีน ดังนั้นเหยื่อที่อยู่นอกประเทศจีนจึงไม่สามารถผ่าน ISP ของจีนเพื่อเข้าถึงบริการของ Baidu

NSPX30

ในส่วนต่อไปนี้ เราจะอธิบายขั้นตอนหลักของการดำเนินการมัลแวร์

1 เวที

รูปที่ 12 แสดงให้เห็นถึงห่วงโซ่การดำเนินการเมื่อส่วนประกอบที่ถูกต้องโหลด DLL แบบหยดที่เป็นอันตรายซึ่งสร้างไฟล์หลายไฟล์บนดิสก์

หยดดำเนินการ RsStub.exeซึ่งเป็นส่วนประกอบซอฟต์แวร์ที่ถูกต้องตามกฎหมายของผลิตภัณฑ์ต่อต้านมัลแวร์ Rising Antivirus ของจีน ซึ่งถูกนำไปใช้ในทางที่ผิดเพื่อโหลดโปรแกรมที่เป็นอันตราย comx3.dll.

รูปที่ 13 แสดงให้เห็นถึงขั้นตอนสำคัญที่ดำเนินการระหว่างการดำเนินการของส่วนประกอบนี้

เมื่อ RsStub.exe โทร ออกจากกระบวนการฟังก์ชันตัวโหลดจากเชลล์โค้ดจะถูกดำเนินการแทนโค้ดฟังก์ชัน API ที่ถูกต้อง

ตัวโหลดจะถอดรหัส DLL ของตัวติดตั้งจากไฟล์ comx3.dll.txt; จากนั้นเชลล์โค้ดจะโหลด DLL ของตัวติดตั้งในหน่วยความจำและเรียกจุดเริ่มต้น

โปรแกรมติดตั้ง DLL

โปรแกรมติดตั้งใช้เทคนิคบายพาส UAC ที่นำมาจากการใช้งานโอเพ่นซอร์สเพื่อสร้างกระบวนการยกระดับใหม่ จะใช้แบบใดขึ้นอยู่กับเงื่อนไขหลายประการ ดังที่เห็นในตารางที่ 3

ตารางที่ 3. เงื่อนไขหลักและเงื่อนไขย่อยตามลำดับที่ต้องปฏิบัติตามเพื่อใช้เทคนิคบายพาส UAC

เงื่อนไขจะตรวจสอบการมีอยู่ของสองกระบวนการ: เราเชื่อว่า avp.exe เป็นส่วนประกอบของซอฟต์แวร์ป้องกันมัลแวร์ของ Kaspersky และ rstray.exe ส่วนประกอบของ Rising Antivirus

โปรแกรมติดตั้งพยายามปิดการใช้งานการส่งตัวอย่างโดย Windows Defender และเพิ่มกฎการแยกสำหรับ DLL ของตัวโหลด msnsp.dll. โดยดำเนินการคำสั่ง PowerShell สองคำสั่งผ่าน cmd.exe:

• cmd /c powershell -inputformat ไม่มี -outputformat ไม่มี -NonInteractive -ชุดคำสั่ง-MpPreference -SubmitSamplesConsent 0
• cmd /c powershell -inputformat none -outputformat none -NonInteractive -Command Add-MpPreference -ExclusionPath “C:ไฟล์โปรแกรม (x86)Common Filesmicrosoft sharedTextConvmsnsp.dll”

จากนั้นตัวติดตั้งจะปล่อย DLL ตัวโหลดถาวรไปที่ C: ไฟล์โปรแกรม (x86) ไฟล์ทั่วไปmicrosoft sharedTextConvmsnsp.dll และสร้างความคงอยู่โดยใช้ API WSCInstallNameSpace เพื่อติดตั้ง DLL เป็น ผู้ให้บริการเนมสเปซ Winsock ชื่อ msnspดังแสดงในรูปที่ 14

ด้วยเหตุนี้ DLL จะถูกโหลดโดยอัตโนมัติทุกครั้งที่กระบวนการใช้ Winsock

สุดท้าย โปรแกรมติดตั้งจะปล่อย DLL ของตัวโหลดออก mshlp.dll และ orchestrator DLL ที่เข้ารหัส WIN.cfg ไปยัง C:โปรแกรมข้อมูลWindows.

2 เวที

ขั้นตอนนี้เริ่มต้นด้วยการดำเนินการของ msnsp.dll. รูปที่ 15 แสดงให้เห็นถึงห่วงโซ่การบรรทุกในระยะที่ 2

Orchestrator

รูปที่ 16 แสดงให้เห็นงานหลักที่ดำเนินการโดยผู้จัดทำ ซึ่งรวมถึงการรับแบ็คดอร์และการโหลดปลั๊กอิน

เมื่อโหลดแล้ว orchestrator จะสร้างสองเธรดเพื่อดำเนินงานของตน

เธรดผู้จัดทำ 1

ผู้เรียบเรียงจะลบไฟล์ดรอปเปอร์ต้นฉบับออกจากดิสก์ และพยายามโหลดแบ็คดอร์จาก msfmtkl.dat. หากไม่มีไฟล์อยู่หรือไม่สามารถเปิดได้ ผู้จัดทำจะใช้ Windows Internet API เพื่อเปิดการเชื่อมต่อกับเว็บไซต์ที่ถูกต้องตามกฎหมายของบริษัท Baidu ในจีน ตามที่อธิบายไว้ก่อนหน้านี้

การตอบกลับจากเซิร์ฟเวอร์จะถูกบันทึกลงในไฟล์ชั่วคราวภายใต้ขั้นตอนการตรวจสอบความถูกต้อง หากตรงตามเงื่อนไขทั้งหมด เพย์โหลดที่เข้ารหัสซึ่งอยู่ภายในไฟล์จะถูกเขียนลงในไฟล์ใหม่และเปลี่ยนชื่อเป็น msfmtkl.dat.

หลังจากที่ไฟล์ใหม่ถูกสร้างขึ้นด้วยเพย์โหลดที่เข้ารหัสแล้ว ผู้เรียบเรียงจะอ่านเนื้อหาและถอดรหัสเพย์โหลดโดยใช้ RC4 PE ที่เป็นผลลัพธ์จะถูกโหลดลงในหน่วยความจำและจุดเข้าใช้งานจะถูกดำเนินการ

เธรดผู้จัดทำ 2

ขึ้นอยู่กับชื่อของกระบวนการปัจจุบัน ผู้จัดทำดำเนินการหลายอย่าง รวมถึงการโหลดปลั๊กอิน และการเพิ่มข้อยกเว้นเพื่ออนุญาตรายการ DLL ของตัวโหลดในฐานข้อมูลท้องถิ่นของผลิตภัณฑ์ซอฟต์แวร์ป้องกันมัลแวร์สามรายการที่มีต้นกำเนิดในจีน

ตารางที่ 4 อธิบายการดำเนินการเมื่อชื่อกระบวนการตรงกับชุดซอฟต์แวร์ความปลอดภัย ซึ่งผู้จัดทำสามารถอนุญาตรายการตัวโหลดได้

ตารางที่ 4. การดำเนินการของ Orchestrator เมื่อดำเนินการในกระบวนการด้วยชื่อของซอฟต์แวร์ความปลอดภัยเฉพาะ

ชื่อกระบวนการ	ซอฟต์แวร์เป้าหมาย	การกระทำ
qqpcmgr.exe qqpctray.exe qqpcrtp.exe	ผู้จัดการพีซีของ Tencent	พยายามที่จะโหลด DLL ที่ถูกต้องตามกฎหมาย TAVinterface.dll เพื่อใช้ฟังก์ชันที่ส่งออก สร้าง TaveInstance เพื่อรับอินเทอร์เฟซ เมื่อเรียกใช้ฟังก์ชันที่สองจากอินเทอร์เฟซ ฟังก์ชั่นจะส่งผ่านพาธของไฟล์เป็นพารามิเตอร์
360safe.exe 360tray.exe	360 Safeguard (หรือที่เรียกว่า 360Safe)	พยายามที่จะโหลด DLL ที่ถูกต้องตามกฎหมาย deepscancloudcom2.dll เพื่อใช้ฟังก์ชันที่ส่งออก XDOpen, XDAddRecordsเช่นและ XDCloseจะเพิ่มรายการใหม่ในไฟล์ฐานข้อมูล SQL speedmem2.hg.
360sd.exe	360 โปรแกรมป้องกันไวรัส	ความพยายามที่จะเปิดไฟล์ sl2.db เพื่อเพิ่มโครงสร้างไบนารี่ที่เข้ารหัส base64 ที่มีเส้นทางไปยังตัวโหลด DLL
kxescore.exe kxetray.exe	คิงซอฟท์ แอนตี้ไวรัส	พยายามที่จะโหลด DLL ที่ถูกต้องตามกฎหมาย securitykxescankhistory.dll เพื่อใช้ฟังก์ชันที่ส่งออก KSDllGetClassObject เพื่อรับอินเทอร์เฟซ เมื่อมันเรียกใช้ฟังก์ชันใดฟังก์ชันหนึ่งจาก vtable มันจะส่งผ่านพาธของไฟล์เป็นพารามิเตอร์

ตารางที่ 5 อธิบายการดำเนินการเมื่อชื่อกระบวนการตรงกับซอฟต์แวร์ข้อความโต้ตอบแบบทันทีที่เลือก ในกรณีเหล่านี้ ออเคสตราจะโหลดปลั๊กอินจากดิสก์

ตารางที่ 5. การดำเนินการ Ochestrator เมื่อดำเนินการในกระบวนการด้วยชื่อของซอฟต์แวร์ข้อความโต้ตอบแบบทันทีที่ระบุ

ชื่อกระบวนการ	ซอฟต์แวร์เป้าหมาย	การกระทำ
qq.exe	Tencent QQ	พยายามสร้าง mutex ที่ตั้งชื่อ รับการล็อคข้อความ QQ. หากไม่มี mutex อยู่ ระบบจะโหลดปลั๊กอิน c001.dat, c002.datและ c003.dat จากดิสก์
วีแชท.exe	WeChat	โหลดปลั๊กอิน c006.dat.
โทรเลข.exe	Telegram	โหลดปลั๊กอิน c007.dat.
skype.exe	Skype	โหลดปลั๊กอิน c003.dat.
ซีซี.exe	ไม่ทราบ; อาจจะ คลาวด์แชท.
raidcall.exe	RaidCall
ปปป.exe	ไม่ทราบ; อาจเป็นแอปพลิเคชันจาก YY โซเชียลเน็ตเวิร์ก.
aliim.exe	อาลีวังวัง	โหลดปลั๊กอิน c005.dat.

หลังจากดำเนินการที่เกี่ยวข้องเสร็จสิ้นแล้ว เธรดจะกลับมา

กลุ่มปลั๊กอิน “c”

จากการวิเคราะห์โค้ด Orchestrator ของเรา เราเข้าใจว่าอาจมีปลั๊กอินของกลุ่ม "c" อย่างน้อยหกปลั๊กอิน ซึ่งขณะนี้เรารู้จักเพียงสามปลั๊กอินเท่านั้น

ตารางที่ 6 อธิบายฟังก์ชันพื้นฐานของปลั๊กอินที่ระบุ

ตารางที่ 6. คำอธิบายของปลั๊กอินจากกลุ่ม “c”

ชื่อปลั๊กอิน	รายละเอียด
c001.dat	ขโมยข้อมูลจากฐานข้อมูล QQ รวมถึงข้อมูลประจำตัว บันทึกการแชท รายชื่อผู้ติดต่อ และอื่นๆ
c002.dat	เชื่อมโยงฟังก์ชั่นหลายอย่างจาก Tencent QQ's KernelUtil.dll และ Common.dll ในความทรงจำของ QQ.exe กระบวนการเปิดใช้งานการสกัดกั้นข้อความโดยตรงและข้อความกลุ่มและการสืบค้น SQL ไปยังฐานข้อมูล
c003.dat	เชื่อมต่อ API หลายตัว: - CoCreateInstance - คลื่นในเปิด - คลื่นในปิด - waveInAddBuffer - waveOutOpen - waveOutWrite - คลื่นออกปิด ซึ่งจะทำให้ปลั๊กอินสามารถดักฟังการสนทนาด้วยเสียงได้ในหลายกระบวนการ

ลับๆ

เราได้แชร์รายละเอียดหลายประการเกี่ยวกับวัตถุประสงค์พื้นฐานของประตูหลังแล้ว: เพื่อสื่อสารกับผู้ควบคุมและขโมยข้อมูลที่รวบรวมไว้ การสื่อสารกับคอนโทรลเลอร์ส่วนใหญ่จะอิงจากการเขียนข้อมูลการกำหนดค่าปลั๊กอินลงในไฟล์ที่ไม่ได้เข้ารหัสซึ่งมีชื่อว่า ใบอนุญาต.datและเรียกใช้ฟังก์ชันการทำงานจากปลั๊กอินที่โหลด ตารางที่ 7 อธิบายคำสั่งที่เกี่ยวข้องมากที่สุดซึ่งจัดการโดยประตูหลัง

ตารางที่ 7. คำอธิบายของคำสั่งบางคำสั่งที่จัดการโดยประตูหลัง

รหัสคำสั่ง	รายละเอียด
0x04	สร้างหรือปิด Reverse Shell และจัดการอินพุตและเอาต์พุต
0x17	ย้ายไฟล์ด้วยเส้นทางที่จัดทำโดยคอนโทรลเลอร์
0x1C	ถอนการติดตั้งรากฟันเทียม
0x1E	รวบรวมข้อมูลไฟล์จากไดเร็กทอรีที่ระบุหรือรวบรวมข้อมูลของไดรฟ์
0x28	ยุติกระบวนการด้วย PID ที่กำหนดโดยคอนโทรลเลอร์

กลุ่มปลั๊กอิน "a" และ "b"

ส่วนประกอบแบ็คดอร์มีปลั๊กอิน DLLs ในตัวของมันเอง (ดูตารางที่ 8) ที่ถูกเขียนลงดิสก์ และช่วยให้แบ็คดอร์มีความสามารถในการสอดแนมและรวบรวมข้อมูลขั้นพื้นฐาน

ตารางที่ 8. คำอธิบายกลุ่มปลั๊กอิน “a” และ “b” ที่ฝังอยู่ในประตูหลัง

ชื่อปลั๊กอิน	รายละเอียด
a010.dat	รวบรวมข้อมูลซอฟต์แวร์ที่ติดตั้งจากรีจิสทรี
b010.dat	จับภาพหน้าจอ
b011.dat	คีย์ล็อกเกอร์พื้นฐาน

สรุป

เราได้วิเคราะห์การโจมตีและความสามารถจากผู้ก่อภัยคุกคามที่เราตั้งชื่อว่า Blackwood ซึ่งดำเนินการจารกรรมทางไซเบอร์ต่อบุคคลและบริษัทจากประเทศจีน ญี่ปุ่น และสหราชอาณาจักร เราได้จัดทำแผนผังวิวัฒนาการของ NSPX30 ซึ่งเป็นอุปกรณ์ฝังแบบสั่งทำพิเศษที่ Blackwood ใช้งาน ย้อนกลับไปในปี 2005 กับประตูหลังเล็กๆ ที่เราตั้งชื่อว่า Project Wood

สิ่งที่น่าสนใจคือ Project Wood ที่ฝังไว้ในปี 2005 ดูเหมือนจะเป็นผลงานของนักพัฒนาที่มีประสบการณ์ในการพัฒนามัลแวร์ เมื่อพิจารณาจากเทคนิคที่นำมาใช้ ทำให้เราเชื่อว่าเรายังไม่สามารถค้นพบเพิ่มเติมเกี่ยวกับประวัติความเป็นมาของแบ็คดอร์ในยุคแรกเริ่มได้

หากมีข้อสงสัยเกี่ยวกับงานวิจัยของเราที่เผยแพร่บน WeLiveSecurity โปรดติดต่อเราที่ [ป้องกันอีเมล].
ESET Research เสนอรายงานข่าวกรอง APT ส่วนตัวและฟีดข้อมูล หากต้องการสอบถามเกี่ยวกับบริการนี้ โปรดไปที่ ESET ภัยคุกคามอัจฉริยะ หน้า.

IOCs

ไฟล์

SHA-1	ชื่อไฟล์	ชื่อการตรวจจับ ESET	รายละเอียด
625BEF5BD68F75624887D732538B7B01E3507234	มินิเบราว์เซอร์_shell.dll	Win32/Agent.AFYI	หยดเริ่มต้น NSPX30
43622B9573413E17985B3A95CBE18CFE01FADF42	comx3.dll	Win32/Agent.AFYH	ตัวโหลดสำหรับตัวติดตั้ง
240055AA125BD31BF5BA23D6C30133C5121147A5	msnsp.dll	Win32/Agent.AFYH	ตัวโหลดแบบถาวร
308616371B9FF5830DFFC740318FD6BA4260D032	mshlp.dll	Win32/Agent.AFYH	ตัวโหลดสำหรับออเคสตรา
796D05F299F11F1D78FBBB3F6E1F497BC3325164	comx3.dll.txt	Win32/TrojanDropper.Agent.SWR	ตัวติดตั้งที่ถอดรหัสแล้ว
82295E138E89F37DD0E51B1723775CBE33D26475	WIN.cfg	Win32/Agent.AFYI	ออเคสตราถอดรหัส
44F50A81DEBF68F4183EAEBC08A2A4CD6033DD91	msfmtkl.dat	Win32/Agent.VKT	ถอดรหัสลับประตูหลัง
DB6AEC90367203CAAC9D9321FDE2A7F2FE2A0FB6	c001.dat	Win32/Agent.AFYI	ข้อมูลรับรองและปลั๊กอินขโมยข้อมูล
9D74FE1862AABAE67F9F2127E32B6EFA1BC592E9	c002.dat	Win32/Agent.AFYI	ปลั๊กอินสกัดกั้นข้อความ Tencent QQ
8296A8E41272767D80DF694152B9C26B607D26EE	c003.dat	Win32/Agent.AFYI	ปลั๊กอินบันทึกเสียง
8936BD9A615DD859E868448CABCD2C6A72888952	a010.dat	Win32/Agent.VKT	ปลั๊กอินตัวรวบรวมข้อมูล
AF85D79BC16B691F842964938C9619FFD1810C30	b011.dat	Win32/Agent.VKT	ปลั๊กอินคีย์ล็อกเกอร์
ACD6CD486A260F84584C9FF7409331C65D4A2F4A	b010.dat	Win32/Agent.VKT	ปลั๊กอินจับภาพหน้าจอ

เครือข่าย

IP	โดเมน	ผู้ให้บริการโฮสติ้ง	เห็นครั้งแรก	รายละเอียด
104.193.88[.]123	www.ไป่ตู้[.]com	ปักกิ่ง Baidu Netcom Science and Technology Co., Ltd.	2017-08-04	เว็บไซต์ที่ถูกต้องตามกฎหมายได้รับการติดต่อจากผู้จัดทำและส่วนประกอบแบ็คดอร์เพื่อดาวน์โหลดเพย์โหลด คำขอ HTTP GET ถูกดักจับโดย AitM
183.134.93[.]171	dl_dir.qq[.]คอม	IRT‑CHINANET‑ZJ	2021-10-17	ส่วนหนึ่งของ URL ที่ดาวน์โหลด Dropper โดยซอฟต์แวร์ที่ถูกต้องตามกฎหมาย

เทคนิค MITER ATT&CK

ตารางนี้ถูกสร้างขึ้นโดยใช้ รุ่น 14 ของกรอบงาน MITER ATT&CK.

ชั้นเชิง	ID	Name	รายละเอียด
การพัฒนาทรัพยากร	T1587.001	พัฒนาความสามารถ: มัลแวร์	Blackwood ใช้อุปกรณ์ฝังเทียมแบบกำหนดเองที่เรียกว่า NSPX30
การเข้าถึงเบื้องต้น	T1195	การประนีประนอมในห่วงโซ่อุปทาน	ส่วนประกอบหยดของ NSPX30 จะถูกส่งเมื่อมีการดักฟังคำขออัปเดตซอฟต์แวร์ที่ถูกต้องผ่าน AitM
การกระทำ	T1059.001	ล่ามคำสั่งและสคริปต์: PowerShell	ส่วนประกอบตัวติดตั้งของ NSPX30 ใช้ PowerShell เพื่อปิดใช้งานการส่งตัวอย่างของ Windows Defender และเพิ่มการยกเว้นสำหรับส่วนประกอบตัวโหลด
	T1059.003	ล่ามคำสั่งและสคริปต์: Windows Command Shell	โปรแกรมติดตั้งของ NSPX30 สามารถใช้งานได้ cmd.exe เมื่อพยายามเลี่ยงผ่าน UAC ประตูหลังของ NSPX30 สามารถสร้างเปลือกย้อนกลับได้
	T1059.005	ล่ามคำสั่งและสคริปต์: Visual Basic	โปรแกรมติดตั้งของ NSPX30 สามารถใช้ VBScript เมื่อพยายามเลี่ยงผ่าน UAC
	T1106	API ดั้งเดิม	โปรแกรมติดตั้งและการใช้งานแบ็คดอร์ของ NSPX30 CreateProcessA/W API เพื่อดำเนินการส่วนประกอบ
การติดตา	T1574	ขั้นตอนการดำเนินการจี้	ตัวโหลดของ NSPX30 จะถูกโหลดเข้าสู่กระบวนการโดยอัตโนมัติเมื่อ Winsock เริ่มทำงาน
การเลื่อนระดับสิทธิ์	T1546	การดำเนินการทริกเกอร์เหตุการณ์	โปรแกรมติดตั้งของ NSPX30 แก้ไขรีจิสทรีเพื่อเปลี่ยนค่าคีย์ปุ่มสื่อ (APPCOMMAND_LAUNCH_APP2) เพื่อชี้ไปที่ปฏิบัติการโหลดเดอร์
	T1548.002	กลไกการควบคุมระดับความสูงในทางที่ผิด: ข้ามการควบคุมบัญชีผู้ใช้	โปรแกรมติดตั้งของ NSPX30 ใช้สามเทคนิคในการพยายามข้าม UAC
การหลบหลีกการป้องกัน	T1140	ถอดรหัสซอร์สโค้ดที่สร้างความสับสน/ถอดรหัสไฟล์หรือข้อมูล	ไฟล์ตัวติดตั้ง, ออเคสตรา, แบ็คดอร์ และไฟล์การกำหนดค่าของ NSPX30 ถูกถอดรหัสด้วย RC4 หรือการผสมผสานระหว่างคำสั่งระดับบิตและเลขคณิต
	T1562.001	การป้องกันที่บกพร่อง: ปิดใช้งานหรือแก้ไขเครื่องมือ	โปรแกรมติดตั้งของ NSPX30 ปิดใช้งานการส่งตัวอย่างของ Windows Defender และเพิ่มการยกเว้นสำหรับส่วนประกอบตัวโหลด ผู้จัดทำของ NSPX30 สามารถแก้ไขฐานข้อมูลของซอฟต์แวร์รักษาความปลอดภัยเพื่ออนุญาตส่วนประกอบตัวโหลดได้ ซอฟต์แวร์เป้าหมายประกอบด้วย: Tencent PC Manager, 360 Safeguard, 360 Antivirus และ Kingsoft AntiVirus
	T1070.004	การลบตัวบ่งชี้: การลบไฟล์	NSPX30 สามารถลบไฟล์ได้
	T1070.009	การลบตัวบ่งชี้: การคงอยู่ที่ชัดเจน	NSPX30 สามารถขจัดความคงอยู่ของมันได้
	T1202	การดำเนินการคำสั่งทางอ้อม	โปรแกรมติดตั้งของ NSPX30 รัน PowerShell ผ่าน Command Shell ของ Windows
	T1036.005	การปลอมแปลง: จับคู่ชื่อหรือสถานที่ที่ถูกต้องตามกฎหมาย	ส่วนประกอบของ NSPX30 จะถูกจัดเก็บไว้ในโฟลเดอร์ที่ถูกต้อง %ข้อมูลโปรแกรม%Intel.
	T1112	แก้ไขรีจิสทรี	โปรแกรมติดตั้งของ NSPX30 สามารถแก้ไขรีจิสทรีได้เมื่อพยายามเลี่ยงผ่าน UAC
	T1027	ไฟล์หรือข้อมูลที่ทำให้สับสน	ส่วนประกอบของ NSPX30 จะถูกจัดเก็บแบบเข้ารหัสบนดิสก์
	T1027.009	ไฟล์หรือข้อมูลที่สับสน: เพย์โหลดที่ฝังไว้	หลอดหยดของ NSPX30 มีส่วนประกอบแบบฝัง ตัวโหลดของ NSPX30 มีโค้ดเชลล์ฝังอยู่
	T1218.011	การดำเนินการพร็อกซีไบนารีของระบบ: Rundll32	สามารถโหลดตัวติดตั้งของ NSPX30 ได้ rundll32.exe.
การเข้าถึงข้อมูลประจำตัว	T1557	ศัตรูที่อยู่ตรงกลาง	การปลูกถ่าย NSPX30 ถูกส่งไปยังเหยื่อผ่านการโจมตีของ AitM
	T1555	ข้อมูลประจำตัวจากร้านค้ารหัสผ่าน	ปลั๊กอิน NSPX30 c001.dat สามารถขโมยข้อมูลรับรองจากฐานข้อมูล Tencent QQ
การค้นพบ	T1083	การค้นหาไฟล์และไดเรกทอรี	แบ็คดอร์และปลั๊กอินของ NSPX30 สามารถแสดงรายการไฟล์ได้
	T1012	รีจิสทรีแบบสอบถาม	NSPX30 a010.dat ปลั๊กอินรวบรวมข้อมูลต่าง ๆ ของซอฟต์แวร์ที่ติดตั้งจากรีจิสทรี
	T1518	การค้นพบซอฟต์แวร์	NSPX30 a010.dat ปลั๊กอินรวบรวมข้อมูลจากรีจิสทรี
	T1082	การค้นพบข้อมูลระบบ	แบ็คดอร์ของ NSPX30 รวบรวมข้อมูลระบบ
	T1016	การค้นพบการกำหนดค่าเครือข่ายระบบ	แบ็คดอร์ของ NSPX30 รวบรวมข้อมูลอะแดปเตอร์เครือข่ายต่างๆ
	T1049	การค้นพบการเชื่อมต่อเครือข่ายระบบ	ประตูหลังของ NSPX30 รวบรวมข้อมูลอะแดปเตอร์เครือข่าย
	T1033	เจ้าของระบบ/การค้นพบผู้ใช้	ประตูหลังของ NSPX30 รวบรวมข้อมูลระบบและข้อมูลผู้ใช้
ชุด	T1056.001	จับอินพุต: Keylogging	ปลั๊กอิน NSPX30 b011.dat เป็นคีย์ล็อกเกอร์พื้นฐาน
	T1560.002	เก็บข้อมูลที่เก็บถาวร: เก็บถาวรผ่านห้องสมุด	ปลั๊กอิน NSPX30 บีบอัดข้อมูลที่รวบรวมโดยใช้ zlib
	T1123	จับภาพเสียง	ปลั๊กอิน NSPX30 c003.dat บันทึกกระแสข้อมูลอินพุตและเอาต์พุตเสียง
	T1119	คอลเลกชันอัตโนมัติ	ผู้ควบคุมและแบ็คดอร์ของ NSPX30 จะเปิดปลั๊กอินเพื่อรวบรวมข้อมูลโดยอัตโนมัติ
	T1074.001	Data Staged: การจัดเตรียมข้อมูลในเครื่อง	ปลั๊กอินของ NSPX30 จะจัดเก็บข้อมูลไว้ในไฟล์ในเครื่องก่อนที่จะถูกกรอง
	T1113	จับภาพหน้าจอ	ปลั๊กอิน NSPX30 b010.dat จับภาพหน้าจอ
ควบคุมและสั่งการ	T1071.001	Application Layer Protocol: โปรโตคอลเว็บ	ผู้ควบคุมและส่วนประกอบแบ็คดอร์ของ NSPX30 ดาวน์โหลดเพย์โหลดโดยใช้ HTTP
	T1071.004	แอปพลิเคชันเลเยอร์โปรโตคอล: DNS	ประตูหลังของ NSPX30 ขโมยข้อมูลที่รวบรวมโดยใช้ DNS
	T1132.001	การเข้ารหัสข้อมูล: การเข้ารหัสมาตรฐาน	ข้อมูลที่รวบรวมเพื่อการกรองจะถูกบีบอัดด้วย zlib
	T1001	การทำให้ข้อมูลสับสน	ประตูหลังของ NSPX30 เข้ารหัสการสื่อสาร C&C
	T1095	โปรโตคอลเลเยอร์ที่ไม่ใช่แอปพลิเคชัน	ประตูหลังของ NSPX30 ใช้ UDP สำหรับการสื่อสาร C&C
	T1090	หนังสือมอบฉันทะ	การสื่อสารของ NSPX30 กับเซิร์ฟเวอร์ C&C นั้นใช้พรอกซีโดยส่วนประกอบที่ไม่ปรากฏหลักฐาน
การกรอง	T1020	การกรองอัตโนมัติ	เมื่อพร้อมใช้งาน ประตูหลังของ NSPX30 จะกรองข้อมูลที่รวบรวมไว้โดยอัตโนมัติ
	T1030	ขีด จำกัด ขนาดการถ่ายโอนข้อมูล	ประตูหลังของ NSPX30 ขโมยข้อมูลที่รวบรวมผ่านการสืบค้น DNS ด้วยขนาดแพ็กเก็ตคงที่
	T1048.003	การกรองผ่านโปรโตคอลทางเลือก: การกรองผ่านโปรโตคอล Non-C2 ที่ไม่ได้เข้ารหัส	ประตูหลังของ NSPX30 ขโมยข้อมูลที่รวบรวมโดยใช้ DNS

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.welivesecurity.com/en/eset-research/nspx30-sophisticated-aitm-enabled-implant-evolving-since-2005/