От декември 2022 г. насам фишинг кампания, която изследователите по сигурността наричат SmugX и приписват на китайска група, е насочена към посолства и министерства на външните работи в Обединеното кралство, Франция, Швеция, Украйна, Чехия, Унгария и Словакия.
Изследователи от компанията за киберсигурност Check Point анализираха атаките и забелязаха припокриване с дейност, приписвана преди това на групи за напреднали постоянни заплахи (APT), проследени като Mustang Panda и RedDelta.
Разглеждайки примамливите документи, изследователите забелязали, че те обикновено са тематично свързани с европейските вътрешни и външни политики.
Сред пробите, които Check Point събра по време на разследването, са:
Примамките, използвани в кампанията SmugX, издават целевия профил на заплахата и посочват шпионажа като вероятна цел на кампанията.
Check Point забеляза, че атаките SmugX разчитат на две вериги за заразяване, като и двете използват техниката за контрабанда на HTML, за да скрият зловреден полезен товар в кодирани низове от HTML документи, прикрепени към примамливото съобщение.
Единият вариант на кампанията доставя ZIP архив със зловреден LNK файл, който при стартиране стартира PowerShell, за да извлече архива и да го запише във временната директория на Windows.
Екстрахираният архив съдържа три файла, единият от които е легитимен изпълним файл (или „robotaskbaricon.exe“, или „passwordgenerator.exe“) от по-стара версия на мениджъра на пароли RoboForm, която позволява зареждане на DLL файлове, несвързани с приложението – техника, наречена DLL sideloading.
Другите два файла са злонамерен DLL файл (Roboform.dll), който е sideloaded с помощта на един от двата легитимни изпълними файла, и „data.dat“ – който съдържа троянския кон за отдалечен достъп (RAT) PlugX, който се изпълнява чрез PowerShell.
Вторият вариант на веригата за атака използва контрабанда на HTML за изтегляне на JavaScript файл, който изпълнява MSI файл след изтеглянето му от сървъра за командване и контрол (C2) на нападателя.
След това MSI създава нова папка в директорията „%appdata%\Local“ и съхранява три файла: отвлечен легитимен изпълним файл, DLL за зареждане и криптирания полезен товар PlugX („data.dat“).
Отново се изпълнява легитимната програма, а зловредният софтуер PlugX се зарежда в паметта чрез DLL sideloading, за да се избегне откриването.
За да осигури устойчивост, зловредният софтуер създава скрита директория, в която съхранява легитимния изпълним файл и злонамерените DLL файлове, и добавя програмата към ключа на регистъра „Run“.
След като PlugX е инсталиран и работи на машината на жертвата, той може да зареди измамен PDF файл, за да отвлече вниманието на жертвата и да намали подозренията ѝ.
„Някои от полезните товари на PlugX, които открихме, записват измамна примамка под формата на PDF файл в директорията %temp% и след това го отварят. Пътят до документа се съхранява в конфигурацията на PlugX под document_name.“ – казват от Check Point
PlugX е модулен RAT, който се използва от множество китайски APT от 2008 г. насам. Той се предлага с широк набор от функции, които включват ексфилтрация на файлове, правене на скрийншоти, кийлогване и изпълнение на команди.
Макар че зловредният софтуер обикновено се свързва с APT групи, той е използван и от киберпрестъпници.
Въпреки това версията, която Check Point е видял, че е внедрена в кампанията SmugX, до голяма степен е същата като тези, наблюдавани в други скорошни атаки, приписвани на китайски противник, с тази разлика, че използва шифъра RC4 вместо XOR.
Въз основа на разкритите подробности изследователите на Check Point смятат, че кампанията SmugX показва, че китайските групи за заплахи започват да се интересуват от европейски цели, вероятно с цел шпионаж.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.