Eine bisher unbekannte Cyberbedrohung mit Verbindungen zu China wurde entdeckt. Die Gruppe, die unter dem Namen Blackwood bekannt ist, wurde vom slowakischen Cybersicherheitsunternehmen ESET verfolgt und ist seit mindestens 2018 aktiv. Die Bedrohung umfasst den Einsatz eines fortschrittlichen, mehrstufigen Implantats namens NSPX30, das über Update-Mechanismen bekannter Software wie Tencent QQ, WPS Office und Sogou Pinyin verbreitet wird. Die Angriffe richten sich gegen chinesische und japanische Fertigungs-, Handels- und Ingenieurunternehmen sowie Einzelpersonen in China, Japan und dem Vereinigten Königreich.
Das NSPX30-Implantat besteht aus verschiedenen Komponenten wie einem Dropper, einem Installer, Loadern, einem Orchestrator und einer Backdoor. Die Backdoor, die in der Lage ist, chinesische Anti-Malware-Lösungen zu umgehen, basiert auf einem anderen Schadprogramm namens Project Wood, das 2005 entwickelt wurde. Das NSPX30-Implantat wird über unverschlüsselte HTTP-Anfragen an legitime Server heruntergeladen und ermöglicht die Infektion des Systems.
Die Infektion erfolgt durch die Ausführung mehrerer Dateien, einschließlich des Launchers „RsStub.exe“, der eine DLL-Datei namens „comx3.dll“ ausführt. Diese DLL-Datei dient als Loader, der eine weitere Datei namens „comx3.dll.txt“ aktiviert und letztendlich den Orchestrator („WIN.cfg“) ausführt. Die genaue Methode, wie die Angreifer den Dropper in Form bösartiger Updates bereitstellen, ist derzeit nicht bekannt. Es wird jedoch vermutet, dass sie dazu möglicherweise kompromittierte Router verwenden.
Der Orchestrator erstellt dann zwei Threads: einen zur Beschaffung der Backdoor und einen zum Laden der Plugins. Außerdem werden Ausnahmen hinzugefügt, um die Loader-DLLs von chinesischen Anti-Malware-Lösungen zuzulassen. Die Backdoor wird über eine HTTP-Anfrage an die chinesische Suchmaschine Baidu heruntergeladen. NSPX30 erstellt zudem einen passiven UDP-Listening-Socket, um Befehle vom Controller zu empfangen und Daten über DNS-Abfragen zu exfiltrieren.
Das NSPX30-Implantat ermöglicht dem Angreifer die Erstellung einer Reverse-Shell, die Erfassung von Dateiinformationen, die Beendigung bestimmter Prozesse, das Erfassen von Screenshots, das Mitschneiden von Tastatureingaben und sogar das Deinstallieren des Implantats von der infizierten Maschine.
Die Veröffentlichung erfolgt nachdem SecurityScorecard kürzlich eine neue Infrastruktur im Zusammenhang mit einer anderen chinesischen Cyber-Spionagegruppe namens Volt Typhoon aufgedeckt hat. Volt Typhoon nutzt ein Botnet, das durch bekannte Sicherheitslücken in Cisco RV320/325-Routern ausgenutzt wird. Es wird vermutet, dass diese Router zur Datenübertragung oder zum Zugriff auf die Netzwerke der Zielorganisationen genutzt werden.