Търсене
Close this search box.

SmugX се цели в европейски правителства

От декември 2022 г. насам фишинг кампания, която изследователите по сигурността наричат SmugX и приписват на китайска група, е насочена към посолства и министерства на външните работи в Обединеното кралство, Франция, Швеция, Украйна, Чехия, Унгария и Словакия.

Изследователи от компанията за киберсигурност Check Point анализираха атаките и забелязаха припокриване с дейност, приписвана преди това на групи за напреднали постоянни заплахи (APT), проследени като Mustang Panda и RedDelta.

Разглеждайки примамливите документи, изследователите забелязали, че те обикновено са тематично свързани с европейските вътрешни и външни политики.

Сред пробите, които Check Point събра по време на разследването, са:

  • Писмо от сръбското посолство в Будапеща
  • документ, в който са посочени приоритетите на шведското председателство на Съвета на Европейския съюз
  • покана за дипломатическа конференция, издадена от Министерството на външните работи на Унгария
  • статия за двама китайски адвокати по правата на човека

Примамките, използвани в кампанията SmugX, издават целевия профил на заплахата и посочват шпионажа като вероятна цел на кампанията.

Вериги за атака на SmugX

Check Point забеляза, че атаките SmugX разчитат на две вериги за заразяване, като и двете използват техниката за контрабанда на HTML, за да скрият зловреден полезен товар в кодирани низове от HTML документи, прикрепени към примамливото съобщение.

Единият вариант на кампанията доставя ZIP архив със зловреден LNK файл, който при стартиране стартира PowerShell, за да извлече архива и да го запише във временната директория на Windows.

Екстрахираният архив съдържа три файла, единият от които е легитимен изпълним файл (или „robotaskbaricon.exe“, или „passwordgenerator.exe“) от по-стара версия на мениджъра на пароли RoboForm, която позволява зареждане на DLL файлове, несвързани с приложението – техника, наречена DLL sideloading.

Другите два файла са злонамерен DLL файл (Roboform.dll), който е sideloaded с помощта на един от двата легитимни изпълними файла, и „data.dat“ – който съдържа троянския кон за отдалечен достъп (RAT) PlugX, който се изпълнява чрез PowerShell.

Вторият вариант на веригата за атака използва контрабанда на HTML за изтегляне на JavaScript файл, който изпълнява MSI файл след изтеглянето му от сървъра за командване и контрол (C2) на нападателя.

След това MSI създава нова папка в директорията „%appdata%\Local“ и съхранява три файла: отвлечен легитимен изпълним файл, DLL за зареждане и криптирания полезен товар PlugX („data.dat“).

 

Отново се изпълнява легитимната програма, а зловредният софтуер PlugX се зарежда в паметта чрез DLL sideloading, за да се избегне откриването.

За да осигури устойчивост, зловредният софтуер създава скрита директория, в която съхранява легитимния изпълним файл и злонамерените DLL файлове, и добавя програмата към ключа на регистъра „Run“.

След като PlugX е инсталиран и работи на машината на жертвата, той може да зареди измамен PDF файл, за да отвлече вниманието на жертвата и да намали подозренията ѝ.

„Някои от полезните товари на PlugX, които открихме, записват измамна примамка под формата на PDF файл в директорията %temp% и след това го отварят. Пътят до документа се съхранява в конфигурацията на PlugX под document_name.“ – казват от Check Point

PlugX е модулен RAT, който се използва от множество китайски APT от 2008 г. насам. Той се предлага с широк набор от функции, които включват ексфилтрация на файлове, правене на скрийншоти, кийлогване и изпълнение на команди.

Макар че зловредният софтуер обикновено се свързва с APT групи, той е използван и от киберпрестъпници.

Въпреки това версията, която Check Point е видял, че е внедрена в кампанията SmugX, до голяма степен е същата като тези, наблюдавани в други скорошни атаки, приписвани на китайски противник, с тази разлика, че използва шифъра RC4 вместо XOR.

Въз основа на разкритите подробности изследователите на Check Point смятат, че кампанията SmugX показва, че китайските групи за заплахи започват да се интересуват от европейски цели, вероятно с цел шпионаж.

 

Източник: По материали от Интернет

Подобни публикации

18 май 2024

Бивш лидер на OpenAI: Безопасността е "на заден...

Ян Лейке, който ръководеше екипа на OpenAI „Super Alignment&#...
18 май 2024

Киберсигурността в надпревара за разобличаване ...

Кевин Мандия, главен изпълнителен директор на Mandiant в Google Clo...
17 май 2024

Измамите с фалшиви фактури все още са сериозна ...

Измамите с фалшиви фактури не са нова тенденция, показват проучвани...
17 май 2024

Петима обвинени за киберсхеми в полза на оръжей...

Днес Министерството на правосъдието на САЩ повдигна обвинения на пе...
17 май 2024

Шпионската група "Маската" се появява отново сл...

Група за съвременни постоянни заплахи (APT), която не е била в дейс...
16 май 2024

400 000 Linux сървъра са засегнати от ботнета E...

Разширяването на ботнета Ebury Linux продължава без прекъсване през...
16 май 2024

Intel публикува 41 препоръки за сигурност за на...

Гигантът в областта на чиповете е пуснал пачове за повечето от тези...
16 май 2024

Украински и латвийски телевизии бяха отвлечени

Само в Украйна бяха прекъснати поне 15 телевизионни канала, което, ...
Бъдете социални
Още по темата
17/05/2024

Измамите с фалшиви фактури ...

Измамите с фалшиви фактури не са...
16/05/2024

Украински и латвийски телев...

Само в Украйна бяха прекъснати поне...
14/05/2024

Ботнет е изпратил милиони и...

От април насам милиони фишинг имейли...
Последно добавени
18/05/2024

Бивш лидер на OpenAI: Безоп...

Ян Лейке, който ръководеше екипа на...
18/05/2024

Киберсигурността в надпрева...

Кевин Мандия, главен изпълнителен директор на...
17/05/2024

Измамите с фалшиви фактури ...

Измамите с фалшиви фактури не са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!