От декември 2022 г. насам фишинг кампания, която изследователите по сигурността наричат SmugX и приписват на китайска група, е насочена към посолства и министерства на външните работи в Обединеното кралство, Франция, Швеция, Украйна, Чехия, Унгария и Словакия.

Изследователи от компанията за киберсигурност Check Point анализираха атаките и забелязаха припокриване с дейност, приписвана преди това на групи за напреднали постоянни заплахи (APT), проследени като Mustang Panda и RedDelta.

Разглеждайки примамливите документи, изследователите забелязали, че те обикновено са тематично свързани с европейските вътрешни и външни политики.

Сред пробите, които Check Point събра по време на разследването, са:

  • Писмо от сръбското посолство в Будапеща
  • документ, в който са посочени приоритетите на шведското председателство на Съвета на Европейския съюз
  • покана за дипломатическа конференция, издадена от Министерството на външните работи на Унгария
  • статия за двама китайски адвокати по правата на човека

Примамките, използвани в кампанията SmugX, издават целевия профил на заплахата и посочват шпионажа като вероятна цел на кампанията.

Вериги за атака на SmugX

Check Point забеляза, че атаките SmugX разчитат на две вериги за заразяване, като и двете използват техниката за контрабанда на HTML, за да скрият зловреден полезен товар в кодирани низове от HTML документи, прикрепени към примамливото съобщение.

Единият вариант на кампанията доставя ZIP архив със зловреден LNK файл, който при стартиране стартира PowerShell, за да извлече архива и да го запише във временната директория на Windows.

Екстрахираният архив съдържа три файла, единият от които е легитимен изпълним файл (или „robotaskbaricon.exe“, или „passwordgenerator.exe“) от по-стара версия на мениджъра на пароли RoboForm, която позволява зареждане на DLL файлове, несвързани с приложението – техника, наречена DLL sideloading.

Другите два файла са злонамерен DLL файл (Roboform.dll), който е sideloaded с помощта на един от двата легитимни изпълними файла, и „data.dat“ – който съдържа троянския кон за отдалечен достъп (RAT) PlugX, който се изпълнява чрез PowerShell.

Вторият вариант на веригата за атака използва контрабанда на HTML за изтегляне на JavaScript файл, който изпълнява MSI файл след изтеглянето му от сървъра за командване и контрол (C2) на нападателя.

След това MSI създава нова папка в директорията „%appdata%\Local“ и съхранява три файла: отвлечен легитимен изпълним файл, DLL за зареждане и криптирания полезен товар PlugX („data.dat“).

 

Отново се изпълнява легитимната програма, а зловредният софтуер PlugX се зарежда в паметта чрез DLL sideloading, за да се избегне откриването.

За да осигури устойчивост, зловредният софтуер създава скрита директория, в която съхранява легитимния изпълним файл и злонамерените DLL файлове, и добавя програмата към ключа на регистъра „Run“.

След като PlugX е инсталиран и работи на машината на жертвата, той може да зареди измамен PDF файл, за да отвлече вниманието на жертвата и да намали подозренията ѝ.

„Някои от полезните товари на PlugX, които открихме, записват измамна примамка под формата на PDF файл в директорията %temp% и след това го отварят. Пътят до документа се съхранява в конфигурацията на PlugX под document_name.“ – казват от Check Point

PlugX е модулен RAT, който се използва от множество китайски APT от 2008 г. насам. Той се предлага с широк набор от функции, които включват ексфилтрация на файлове, правене на скрийншоти, кийлогване и изпълнение на команди.

Макар че зловредният софтуер обикновено се свързва с APT групи, той е използван и от киберпрестъпници.

Въпреки това версията, която Check Point е видял, че е внедрена в кампанията SmugX, до голяма степен е същата като тези, наблюдавани в други скорошни атаки, приписвани на китайски противник, с тази разлика, че използва шифъра RC4 вместо XOR.

Въз основа на разкритите подробности изследователите на Check Point смятат, че кампанията SmugX показва, че китайските групи за заплахи започват да се интересуват от европейски цели, вероятно с цел шпионаж.

 

Източник: По материали от Интернет

Подобни публикации

24 април 2025

Възходът на ИИ -базирания полиморфен фишинг

Екипите по анализ на заплахите наблюдават значително увеличение на ...
24 април 2025

Уязвимост в Erlang/OTP поставя под риск редица ...

Cisco разследва въздействието на наскоро разкрита критична уязвимос...
24 април 2025

Marks & Spencer засегнат от кибератака по В...

Емблематичният британски търговец Marks & Spencer (M&S) е в...
24 април 2025

Над 350 000 пациенти засегнати от пробив в Onsi...

Американският доставчик на медицински услуги Onsite Mammography, оп...
23 април 2025

Кибератака парализира системите на град Абилин,...

Градът Абилин, Тексас, стана жертва на сериозна кибератака, която д...
23 април 2025

Уязвимост доведе до издаване на фалшиви SSL сер...

Уязвимост в процеса за валидация на домейн (Domain Control Validati...
23 април 2025

Proton66 подслонява мащабни кибератаки и зловре...

Изследователи по киберсигурност предупреждават, че руският автономе...
Бъдете социални
Още по темата
24/04/2025

Възходът на ИИ -базирания п...

Екипите по анализ на заплахите наблюдават...
24/04/2025

Над 350 000 пациенти засегн...

Американският доставчик на медицински услуги Onsite...
23/04/2025

Proton66 подслонява мащабни...

Изследователи по киберсигурност предупреждават, че руският...
Последно добавени
24/04/2025

Възходът на ИИ -базирания п...

Екипите по анализ на заплахите наблюдават...
24/04/2025

Уязвимост в Erlang/OTP пост...

Cisco разследва въздействието на наскоро разкрита...
24/04/2025

Marks & Spencer засегна...

Емблематичният британски търговец Marks & Spencer...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!