ESETの研究者はこのほど、NSPX30として知られる高度に洗練されたインプラントを公開した。これは、新たに特定された高度持続的脅威(APT)グループ「Blackwood」と関連付けられている。
ESETのブログに水曜日に掲載された記事で詳述された調査結果によれば、Blackwoodは少なくとも2018年以降、サイバー諜報活動に積極的に関与してきたという。
技術的観点から見ると、NSPX30インプラントは、Tencent QQ、WPS Office、Sogou Pinyinといった正規ソフトウェアからの更新要求を悪用する中間者(AitM)攻撃によって配布される。
攻撃者はAitM手法を用いてトラフィックを傍受し、インプラントのコマンド&コントロール(C2)サーバーを隠蔽する。この方法は、中国および日本の組織、ならびに中国、日本、英国の個人に対して有効であることが確認された。
NSPX30インプラントの進化は、2005年に特定され、被害者からデータを収集するために開発された「Project Wood」と呼ばれる小型バックドアにまで遡ることができる。現在のNSPX30はマルチステージのインプラントであり、ドロッパー、インストーラー、ローダー、オーケストレーター、そして関連プラグインを備えたバックドアといったコンポーネントで構成される。
特筆すべき点として、攻撃者がパケット傍受を行えるようにし、インフラの隠蔽に寄与する。また、複数の中国製アンチマルウェアソリューションにおいて自分自身をホワイトリスト登録できる。
マルチステージ型マルウェアについて詳しく読む:Windowsシステムがマルチステージ型マルウェア攻撃の標的に
NSPX30の背後にいるAPTグループBlackwoodは、2020年に悪意ある活動が急増し、主に中国のシステムを標的とした。被害者には、中国および日本の身元不明の個人、英国の著名な公立研究大学のネットワークに接続された身元不明の中国語話者の個人、中国の大手製造・貿易企業、そしてエンジニアリングおよび製造分野の日本企業の中国オフィスが含まれる。
このインプラントは、正規ソフトウェアが暗号化されていないHTTPプロトコルを使用してサーバーから更新をダウンロードしようとする際に展開される。
ESETのテレメトリにより、NSPX30がAitM機能を利用してパケットを傍受し、ネットワークインプラントを介して行っている可能性があることが明らかになった。これにより、C2インフラの所在を効果的に隠蔽している。
「2005年のProject Woodインプラントは、実装されている手法から見て、マルウェア開発の経験を持つ開発者の手によるものと思われる。これにより、原初のバックドアの歴史について、私たちはまださらに多くを発見していないと考えるに至った」と、ESETのマルウェア研究者Facundo Muñozはアドバイザリで記している。
翻訳元: https://www.infosecurity-magazine.com/news/china-apt-blackwood-nspx30-implant/
