Un autore di minacce avanzate precedentemente sconosciuto, ma ora tracciato come "Blackwood", utilizza un malware sofisticato chiamato NSPX30 in attacchi di cyberspionaggio contro aziende e privati. I ricercatori della società di sicurezza informatica ESET avevano già individuato gli attacchi di Blackwood con il malware NSPX30 in una campagna nel 2020 e ritengono che le attività del gruppo siano in linea con gli interessi dello stato cinese. Tale gruppo hacker ha preso di mira obiettivi in Cina, Giappone e Regno Unito. Il malware è stato diffuso attraverso i meccanismi di aggiornamento di software legittimi come la suite WPS Office, la piattaforma di messaggistica istantanea Tencent QQ e l'editor di documenti Sogou Pinyin. Secondo i ricercatori, l’autore della minaccia effettua attacchi AitM e intercetta il traffico generato da NSPX30 per nascondere le proprie attività e nascondere i propri server di comando e controllo (C2).
Blackwood: malware sofisticato che raccoglie informazioni dal sistema violato
I ricercatori hanno specificato che NSPX30 è un implant sofisticato basato sul codice di una backdoor del 2005 denominata “Project Wood”. Quest’ultima aveva capacità elementari per raccogliere dati di sistema, keylogging e acquisire screenshot. Tra gli altri implant emersi dal Progetto Wood è stato trovato anche DCM (Dark Spectre), scoperto nel 2008. ESET ritiene che NSPX30 si sia evoluto da DCM. A differenza dei suoi predecessori, NSPX30 è caratterizzato da un'architettura multistadio, che include componenti come un dropper, un programma di installazione DLL con ampie funzionalità di bypass dell'UAC, un loader, un orchestratore e una backdoor, ciascuno con il proprio set di plug-in. Il malware dimostra un progresso tecnico significativo e ha la capacità di intercettare i pacchetti per nascondere la propria infrastruttura. Ciò gli consente di operare di nascosto. NSPX30 dispone inoltre di meccanismi che lo aggiungono alle liste consentite degli strumenti anti-malware cinesi per eludere il rilevamento.
La funzione principale di NSPX30 è raccogliere informazioni dal sistema violato, inclusi file, screenshot, tasti premuti, dati hardware e di rete e credenziali. La backdoor può anche rubare registri di chat ed elenchi di contatti da Tencent QQ, WeChat, Telegram, Skype, CloudChat, RaidCall, YY e AliWangWang. Questa può anche terminare i processi tramite PID, creare una shell inversa, spostare file in percorsi specificati o disinstallarsi dal sistema infetto. Un aspetto notevole delle attività di Blackwood è la capacità di fornire NSPX30 dirottando le richieste di aggiornamento effettuate da software legittimi. Blackwood intercetta la comunicazione HTTP non crittografata tra il sistema della vittima e il server di aggiornamento e interviene per diffondere il malware. L’esatto meccanismo che consente a Blackwood di intercettare quel traffico è sconosciuto. ESET ipotizza che ciò potrebbe essere possibile utilizzando un implant nelle reti degli obiettivi, possibilmente su dispositivi vulnerabili come router o gateway.