Un acteur de menace avancé jusqu’alors inconnu, connu sous le nom de « Blackwood », utilise un logiciel malveillant sophistiqué appelé NSPX30 dans des attaques de cyberespionnage contre des entreprises et des particuliers.
L’adversaire est actif depuis au moins 2018 en utilisant le malware NSPX30, un implant avec une base de code enracinée dans une simple porte dérobée de 2005, à la suite d’attaques d’adversaire au milieu (AitM).
Des chercheurs de la société de cybersécurité ESET ont découvert Blackwood et l’implant NSPX30 lors d’une campagne en 2020 et estiment que les activités du groupe s’alignent sur les intérêts de l’État chinois.
Les cibles de Blackwood sont en Chine, au Japon et au Royaume-Uni et ont livré le malware via les mécanismes de mise à jour de logiciels légitimes tels que WPS Office( suite bureautique), la plate-forme de messagerie instantanée Tencent QQ et l’éditeur de documents Sogou Pinyin.
Selon les chercheurs, l’auteur de la menace effectue des attaques AitM et intercepte le trafic généré par NSPX30 pour dissimuler ses activités et masquer ses serveurs de commandement et de contrôle (C2).
ESET note également que Blackwood partage éventuellement l’accès avec d’autres groupes APT chinois, car il a observé le système d’une entreprise ciblée par des boîtes à outils associées à plusieurs acteurs, par exemple Evasive Panda, LuoYu et LittleBear.
Origine et évolution de NSPX30
NSPX30 est un implant sophistiqué basé sur le code d’une porte dérobée en 2005 nommée « Project Wood » qui avait des capacités élémentaires pour collecter des données système, enregistrer des frappes et prendre des captures d’écran.
Parmi les autres implants issus du projet Wood figurait le DCM (Dark Specter), vu pour la première fois à l’état sauvage en 2008, avec de multiples améliorations fonctionnelles.
ESET pense que NSPX30 a évolué à partir de DCM avec le premier échantillon connu du malware documenté en 2018.
Contrairement à ses prédécesseurs, NSPX30 se caractérise par son architecture à plusieurs étages, qui comprend des composants tels qu’un compte-gouttes, un programme d’installation de DLL avec des capacités étendues de contournement de l’UAC, un chargeur, un orchestrateur et une porte dérobée, chacun avec son propre ensemble de plugins.
NSPX30 démontre une avancée technique significative, avec des capacités d’interception de paquets pour cacher son infrastructure, lui permettant de fonctionner secrètement. Il dispose également de mécanismes qui l’ajoutent à des listes d’autorisations d’outils anti-logiciels malveillants chinois pour échapper à la détection.
La fonction principale de NSPX30 est de collecter des informations à partir du système piraté, y compris des fichiers, des captures d’écran, des pressions sur les touches, des données matérielles et réseau et des informations d’identification.
La porte dérobée peut également voler les journaux de discussion et les listes de contacts de Tencent QQ, WeChat, Telegram, Skype, Cloud Chat, RaidCall, YY et AliWangWang.
La porte dérobée peut également terminer des processus par PID, créer un shell inversé, déplacer des fichiers vers des chemins spécifiés ou se désinstaller du système infecté.
Attaques AitM
Un aspect notable des activités de Blackwood est sa capacité à fournir NSPX30 en détournant les demandes de mise à jour effectuées par des logiciels légitimes, notamment Tencent QQ, WPS Office et Sogou Pinyin.
Ceci est cependant différent d’une compromission de la chaîne d’approvisionnement, car Blackwood intercepte la communication HTTP non cryptée entre le système de la victime et le serveur de mise à jour et intervient pour livrer l’implant à la place.
Le mécanisme exact qui permet à Blackwood d’intercepter ce trafic en premier lieu est inconnu. ESET spécule que cela pourrait être possible en utilisant un implant dans les réseaux des cibles, éventuellement sur des appareils vulnérables tels que des routeurs ou des passerelles.
Sur la base de leur analyse, les chercheurs pensent que la porte dérobée d’origine à l’origine de l’évolution de l’implant personnalisé NSPX30 semble avoir été développée par des développeurs de logiciels malveillants qualifiés.
Le rapport d’ESET fournit de nombreux détails techniques sur le malware et son fonctionnement et comprend également une liste d’indicateurs de compromission que les défenseurs peuvent utiliser pour protéger leur environnement.