Kínai hackerek európai minisztériumok ellen: HTML Smuggling technika és PlugX segítségével törtek be európai minisztériumokba
Egy kínai csoportot azonosítottak, mely HTML Smuggling módszert alkalmazva támadásokat indított európai külügyminisztériumok és nagykövetségek ellen. Céljuk, hogy a PlugX nevű távoli hozzáférésű trójai programot helyezzék el a támadás által érintett rendszereken.
A Check Point nevű kiberbiztonsági vállalat szerint a SmugX néven hivatkozott aktivitás 2022 decemberében kezdődött, és jelei vannak annak, hogy a kínai fenyegetések fokozottan Európára irányulnak.
„A támadási kampány innovatív szállítási módszereket alkalmaz, különösen az HTML Smugglinget, egy új PlugX változat telepítésére, amely tipikusan a kínai kiberfenyegetők műveihez köthető.” – jelentette ki a checkpoint.com
Miközben a trójai program maga hasonló a korábbi PlugX változatokhoz, a szállításának módja alacsony észlelési arányt eredményez, ez pedig segítségével sikerült eddig elkerülnie a figyelmet.
Az új támadási hullám jelentősége az HTML Smuggling technika alkalmazásában rejlik
Ez a csavaros módszer olyan törvényes HTML5 és JavaScript funkciókat használ a kártékony szoftver összeállításához és elindításához, amelyeket álcázott dokumentumokban mellékelnek gerilla stílusú phishing e-mailekhez.
„Az HTML Smuggling az HTML5 attribútumokat használ, amelyek offline is működhetnek egy bináris adatokból álló, változtathatatlan adatblokk tárolásával a JavaScript kódon belül,” jegyezte meg a Trustwave ebben a februárban. „Az adatblokk, vagy a beágyazott terhelés, fájlobjektummá dekódolódik, ha azt egy webböngészővel nyitjuk meg.”
Azoknak a dokumentumoknak az elemzése, amelyeket a VirusTotal rosszindulatú szoftver-adatbázisába töltöttek fel, azt mutatja, hogy a célkitűzések között diplomáciai és kormányzati szervek is szerepelnek Csehországban, Magyarországon, Szlovákiában, az Egyesült Királyságban, Ukrajnában, és valószínűleg Franciaországban és Svédországban is.
Trójai támadás a Korplug segítségével
A Korplug nevű trójai program, melyet 2008 óta ismernek, moduláris természetű, és képes „különböző pluginokkal rendelkezni különböző funkcionalitásokkal”, amelyek lehetővé teszik a kezelők számára a fájllopást, billentyűleütés-naplózást és parancsvégrehajtást.
„Az elemzések során a fenyegető szereplő egy kötegscriptet küldött, amelyet a C&C szerverről küldtek, és amelynek célja volt minden nyomuk eltüntetése,” mondta a Check Point. „Ez a script, melynek neve del_RoboTask Update.bat, eltünteti a legitim végrehajtható fájlt, a PlugX betöltő DLL-t, és a kitartásra létrehozott registry kulcsot, majd végül önmagát törli. Valószínű, hogy ez a fenyegető szereplők tudatosságának eredménye, mivel rájöttek, hogy figyelemmel kísérik őket.”