От декември 2022 г. насам фишинг кампания, която изследователите по сигурността наричат SmugX и приписват на китайска група, е насочена към посолства и министерства на външните работи в Обединеното кралство, Франция, Швеция, Украйна, Чехия, Унгария и Словакия.

Изследователи от компанията за киберсигурност Check Point анализираха атаките и забелязаха припокриване с дейност, приписвана преди това на групи за напреднали постоянни заплахи (APT), проследени като Mustang Panda и RedDelta.

Разглеждайки примамливите документи, изследователите забелязали, че те обикновено са тематично свързани с европейските вътрешни и външни политики.

Сред пробите, които Check Point събра по време на разследването, са:

  • Писмо от сръбското посолство в Будапеща
  • документ, в който са посочени приоритетите на шведското председателство на Съвета на Европейския съюз
  • покана за дипломатическа конференция, издадена от Министерството на външните работи на Унгария
  • статия за двама китайски адвокати по правата на човека

Примамките, използвани в кампанията SmugX, издават целевия профил на заплахата и посочват шпионажа като вероятна цел на кампанията.

Вериги за атака на SmugX

Check Point забеляза, че атаките SmugX разчитат на две вериги за заразяване, като и двете използват техниката за контрабанда на HTML, за да скрият зловреден полезен товар в кодирани низове от HTML документи, прикрепени към примамливото съобщение.

Единият вариант на кампанията доставя ZIP архив със зловреден LNK файл, който при стартиране стартира PowerShell, за да извлече архива и да го запише във временната директория на Windows.

Екстрахираният архив съдържа три файла, единият от които е легитимен изпълним файл (или „robotaskbaricon.exe“, или „passwordgenerator.exe“) от по-стара версия на мениджъра на пароли RoboForm, която позволява зареждане на DLL файлове, несвързани с приложението – техника, наречена DLL sideloading.

Другите два файла са злонамерен DLL файл (Roboform.dll), който е sideloaded с помощта на един от двата легитимни изпълними файла, и „data.dat“ – който съдържа троянския кон за отдалечен достъп (RAT) PlugX, който се изпълнява чрез PowerShell.

Вторият вариант на веригата за атака използва контрабанда на HTML за изтегляне на JavaScript файл, който изпълнява MSI файл след изтеглянето му от сървъра за командване и контрол (C2) на нападателя.

След това MSI създава нова папка в директорията „%appdata%\Local“ и съхранява три файла: отвлечен легитимен изпълним файл, DLL за зареждане и криптирания полезен товар PlugX („data.dat“).

 

Отново се изпълнява легитимната програма, а зловредният софтуер PlugX се зарежда в паметта чрез DLL sideloading, за да се избегне откриването.

За да осигури устойчивост, зловредният софтуер създава скрита директория, в която съхранява легитимния изпълним файл и злонамерените DLL файлове, и добавя програмата към ключа на регистъра „Run“.

След като PlugX е инсталиран и работи на машината на жертвата, той може да зареди измамен PDF файл, за да отвлече вниманието на жертвата и да намали подозренията ѝ.

„Някои от полезните товари на PlugX, които открихме, записват измамна примамка под формата на PDF файл в директорията %temp% и след това го отварят. Пътят до документа се съхранява в конфигурацията на PlugX под document_name.“ – казват от Check Point

PlugX е модулен RAT, който се използва от множество китайски APT от 2008 г. насам. Той се предлага с широк набор от функции, които включват ексфилтрация на файлове, правене на скрийншоти, кийлогване и изпълнение на команди.

Макар че зловредният софтуер обикновено се свързва с APT групи, той е използван и от киберпрестъпници.

Въпреки това версията, която Check Point е видял, че е внедрена в кампанията SmugX, до голяма степен е същата като тези, наблюдавани в други скорошни атаки, приписвани на китайски противник, с тази разлика, че използва шифъра RC4 вместо XOR.

Въз основа на разкритите подробности изследователите на Check Point смятат, че кампанията SmugX показва, че китайските групи за заплахи започват да се интересуват от европейски цели, вероятно с цел шпионаж.

 

Източник: По материали от Интернет

Подобни публикации

22 януари 2025

Бомбени заплахи в училища от цяла България

Десетки училища в цялата страна получихабомбени заплахи.. По първон...
22 януари 2025

Хиперволуметричните DDoS атаки зачестяват

Най-голямата до момента разпределена атака за отказ на услуга (DDoS...
22 януари 2025

Тръмп уволнява Съвета за киберсигурност

В писмо, изпратено днес, изпълняващият длъжността секретар на Минис...
22 януари 2025

Ботнетът Murdoc, вариант на Mirai, експлоатира ...

Изследователи в областта на киберсигурността предупредиха за нова ш...
22 януари 2025

13 000 рутера MikroTik от цял свят са превзети ...

Глобална мрежа от около 13 000 отвлечени маршрутизатора Mikrotik е ...
21 януари 2025

ИИ в киберсигурността: 20 години иновации

Изкуственият интелект се превърна в ключов фактор в много сектори, ...
21 януари 2025

Злоупотреба с услугите на Microsoft за първонач...

Наблюдавани са две отделни заплахи, които злоупотребяват с услугите...
Бъдете социални
Още по темата
22/01/2025

Бомбени заплахи в училища о...

Десетки училища в цялата страна получихабомбени...
22/01/2025

13 000 рутера MikroTik от ц...

Глобална мрежа от около 13 000...
21/01/2025

Злоупотреба с услугите на M...

Наблюдавани са две отделни заплахи, които...
Последно добавени
22/01/2025

Бомбени заплахи в училища о...

Десетки училища в цялата страна получихабомбени...
22/01/2025

Хиперволуметричните DDoS ат...

Най-голямата до момента разпределена атака за...
22/01/2025

Тръмп уволнява Съвета за ки...

В писмо, изпратено днес, изпълняващият длъжността...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!