SmugX се цели в европейски правителства

От декември 2022 г. насам фишинг кампания, която изследователите по сигурността наричат SmugX и приписват на китайска група, е насочена към посолства и министерства на външните работи в Обединеното кралство, Франция, Швеция, Украйна, Чехия, Унгария и Словакия.

Изследователи от компанията за киберсигурност Check Point анализираха атаките и забелязаха припокриване с дейност, приписвана преди това на групи за напреднали постоянни заплахи (APT), проследени като Mustang Panda и RedDelta.

Разглеждайки примамливите документи, изследователите забелязали, че те обикновено са тематично свързани с европейските вътрешни и външни политики.

Сред пробите, които Check Point събра по време на разследването, са:

  • Писмо от сръбското посолство в Будапеща
  • документ, в който са посочени приоритетите на шведското председателство на Съвета на Европейския съюз
  • покана за дипломатическа конференция, издадена от Министерството на външните работи на Унгария
  • статия за двама китайски адвокати по правата на човека

Примамките, използвани в кампанията SmugX, издават целевия профил на заплахата и посочват шпионажа като вероятна цел на кампанията.

Вериги за атака на SmugX

Check Point забеляза, че атаките SmugX разчитат на две вериги за заразяване, като и двете използват техниката за контрабанда на HTML, за да скрият зловреден полезен товар в кодирани низове от HTML документи, прикрепени към примамливото съобщение.

Единият вариант на кампанията доставя ZIP архив със зловреден LNK файл, който при стартиране стартира PowerShell, за да извлече архива и да го запише във временната директория на Windows.

Екстрахираният архив съдържа три файла, единият от които е легитимен изпълним файл (или „robotaskbaricon.exe“, или „passwordgenerator.exe“) от по-стара версия на мениджъра на пароли RoboForm, която позволява зареждане на DLL файлове, несвързани с приложението – техника, наречена DLL sideloading.

Другите два файла са злонамерен DLL файл (Roboform.dll), който е sideloaded с помощта на един от двата легитимни изпълними файла, и „data.dat“ – който съдържа троянския кон за отдалечен достъп (RAT) PlugX, който се изпълнява чрез PowerShell.

Вторият вариант на веригата за атака използва контрабанда на HTML за изтегляне на JavaScript файл, който изпълнява MSI файл след изтеглянето му от сървъра за командване и контрол (C2) на нападателя.

След това MSI създава нова папка в директорията „%appdata%\Local“ и съхранява три файла: отвлечен легитимен изпълним файл, DLL за зареждане и криптирания полезен товар PlugX („data.dat“).

 

Отново се изпълнява легитимната програма, а зловредният софтуер PlugX се зарежда в паметта чрез DLL sideloading, за да се избегне откриването.

За да осигури устойчивост, зловредният софтуер създава скрита директория, в която съхранява легитимния изпълним файл и злонамерените DLL файлове, и добавя програмата към ключа на регистъра „Run“.

След като PlugX е инсталиран и работи на машината на жертвата, той може да зареди измамен PDF файл, за да отвлече вниманието на жертвата и да намали подозренията ѝ.

„Някои от полезните товари на PlugX, които открихме, записват измамна примамка под формата на PDF файл в директорията %temp% и след това го отварят. Пътят до документа се съхранява в конфигурацията на PlugX под document_name.“ – казват от Check Point

PlugX е модулен RAT, който се използва от множество китайски APT от 2008 г. насам. Той се предлага с широк набор от функции, които включват ексфилтрация на файлове, правене на скрийншоти, кийлогване и изпълнение на команди.

Макар че зловредният софтуер обикновено се свързва с APT групи, той е използван и от киберпрестъпници.

Въпреки това версията, която Check Point е видял, че е внедрена в кампанията SmugX, до голяма степен е същата като тези, наблюдавани в други скорошни атаки, приписвани на китайски противник, с тази разлика, че използва шифъра RC4 вместо XOR.

Въз основа на разкритите подробности изследователите на Check Point смятат, че кампанията SmugX показва, че китайските групи за заплахи започват да се интересуват от европейски цели, вероятно с цел шпионаж.

 

Източник: По материали от Интернет

Подобни публикации

4 октомври 2023

Моделите на PyTorch са уязвими за изпълнение на...

Изследователи в областта на киберсигурността са разкрили множество ...
4 октомври 2023

Qualcomm издава кръпка за 3 нови нулеви дни

Производителят на чипове Qualcomm пусна актуализации за сигурност, ...
4 октомври 2023

Над 3 дузини зловредни пакети npm са насочени к...

Според констатации на Fortinet FortiGuard Labs в хранилището за пак...
4 октомври 2023

Милиони мейл сървъри на Exim са изложени на zer...

Критична уязвимост от типа „нулев ден“ във всички верси...
3 октомври 2023

Cyber Security Talks Bulgaria – ОКТОМВРИ 2023

На 10.10.2023 г. във Висшето военноморско училище в гр. Варна ще се...
3 октомври 2023

ФБР предупреждава за ръст на измамите с "фантом...

ФБР публикува съобщение за обществена услуга, в което предупреждава...
3 октомври 2023

Новият ASMCrypt Malware Loader лети под радара

Киберпрестъпници продават нов софтуер за криптиране и зареждане, на...
2 октомври 2023

Рансъмуер банди вече използват критичен недоста...

Бандите за изнудване сега се насочват към наскоро поправена критичн...
2 октомври 2023

Motel One призна нарушение на сигурността на да...

Групата Motel One обяви, че е била обект на атака от страна на изну...
Бъдете социални
Още по темата
03/10/2023

ФБР предупреждава за ръст н...

ФБР публикува съобщение за обществена услуга,...
28/09/2023

OilRig се насочва към израе...

Израелските организации са били обект на...
28/09/2023

Фишинг атаки на тема "Черве...

Наблюдава се, че нова  заплаха, известна...
Последно добавени
04/10/2023

Моделите на PyTorch са уязв...

Изследователи в областта на киберсигурността са...
04/10/2023

Qualcomm издава кръпка за 3...

Производителят на чипове Qualcomm пусна актуализации...
04/10/2023

Над 3 дузини зловредни паке...

Според констатации на Fortinet FortiGuard Labs...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!