NSPX30 ：通过植入搜狗拼音更新绕过防病毒软件

攻击者绕过防病毒软件并在受害者的系统中获得永久立足点。

斯洛伐克公司ESET 发现了 一个代号为 Blackwood的此前未知的黑客组织的活动，并将其。该组织自 2018 年以来一直活跃，专门从事中间对手 ( AitM ) 攻击，该攻击拦截更新合法软件的请求以提供复杂的 NSPX30 植入。

NSPX30植入物存在于腾讯QQ、WPS Office、搜狗拼音等知名程序的更新机制中。这些攻击针对的是中国、日本和英国的制造、贸易和工程公司以及个人。

根据安全研究员 Facundo Muñoz 的说法， NSPX30 是一个多阶段植入程序，包括植入程序、安装程序、下载程序、编排程序和后门，每个程序都有自己的一组插件。

该植入物能够拦截数据包，使 NSPX30 操作员能够隐藏其基础设施。该后门还能够通过将自身列入白名单来绕过许多防病毒解决方案。

该后门的起源与另一种名为 Project Wood (2005) 的恶意软件有关，该恶意软件用于收集系统和网络信息、记录击键并对受感染的系统进行屏幕截图。

当尝试通过未加密的HTTP协议 从合法服务器下载软件更新时，NSPX30 就会被激活，从而导致系统受到攻击并部署恶意DLL。

在受感染的更新过程中加载的恶意植入程序会在磁盘上创建多个文件，并启动“RsStub.exe”以使用DLL 侧载方法激活“comx3.dll” 。

NSPX30协调器创建两个线程来接收后门并加载其插件，并且还添加了例外以绕过中国的防病毒解决方案。

后门程序通过向中文搜索引擎百度网站发出 HTTP 请求来下载，将该请求伪装成 Windows 98 上的 Internet Explorer。此后，服务器的响应将保存在一个文件中，从中提取并下载后门组件。

NSPX30 还创建一个被动UDP套接字来接收来自管理器的命令并窃取数据，可能会拦截DNS请求数据包以匿名化其C2基础设施。

后门命令允许您创建反向 shell、收集有关文件的信息、终止某些进程、截取屏幕截图、记录击键，甚至将您自己从受感染的计算机中删除。

这一发现重要地提醒我们，网络威胁正在不断演变，需要世界各地的组织持续关注并改进防御，特别是在关键基础设施中。