Οι χάκερ έχουν βάλει στο στόχαστρο ευρωπαϊκές κυβερνητικές οντότητες στην εκστρατεία SmugX.

Μια εκστρατεία ηλεκτρονικού “ψαρέματος”, η οποία ονομάζεται SmugX και αποδίδεται σε κινεζικό απειλητικό φορέα, στοχεύει πρεσβείες και υπουργεία Εξωτερικών στο Ηνωμένο Βασίλειο, τη Γαλλία, τη Σουηδία, την Ουκρανία, την Τσεχική Δημοκρατία, την Ουγγαρία και τη Σλοβακία από τον Δεκέμβριο του 2020.

Δείτε επίσης: Europol: Οι αρχές συνέλαβαν μέλη συμμορίας που εξαπατούσαν ηλικιωμένους

Δείτε επίσης: WordPress plugin παρέχει στους χάκερ admin access στο site σας

Ερευνητές της εταιρείας κυβερνοασφάλειας Check Point ανέλυσαν τις επιθέσεις και παρατήρησαν overlaps με δραστηριότητες που είχαν προηγουμένως αποδοθεί σε ομάδες advanced persistent threat (APT) με τις ονομασίες “Mustang Panda” και “RedDelta”.

Εξετάζοντας τα έγγραφα των δελεαστικών εγγράφων, οι ερευνητές παρατήρησαν ότι συνήθως είχαν θέμα τις ευρωπαϊκές εσωτερικές και εξωτερικές πολιτικές.

Μεταξύ των δειγμάτων που συνέλεξε η Check Point κατά τη διάρκεια της έρευνας είναι:

  • Επιστολή από την πρεσβεία της Σερβίας στη Βουδαπέστη
  • έγγραφο που αναφέρει τις προτεραιότητες της σουηδικής Προεδρίας του Συμβουλίου της Ευρωπαϊκής Ένωσης
  • πρόσκληση σε διπλωματική διάσκεψη που εκδόθηκε από το Υπουργείο Εξωτερικών της Ουγγαρίας
  • ένα άρθρο για δύο Κινέζους δικηγόρους για τα ανθρώπινα δικαιώματα

Τα δέλεαρ που χρησιμοποιήθηκαν στην εκστρατεία SmugX προδίδουν το προφίλ στόχου του δράστη της απειλής και υποδεικνύουν την κατασκοπεία ως τον πιθανό στόχο της εκστρατείας.

Δείτε επίσης: 300.000 Fortinet firewall ευάλωτα σε κρίσιμο σφάλμα FortiOS RCE

Επιθέσεις SmugX

Η Check Point παρατήρησε ότι οι επιθέσεις SmugX βασίζονται σε δύο αλυσίδες μόλυνσης, οι οποίες χρησιμοποιούν την τεχνική HTML smuggling για να κρύψουν κακόβουλα ωφέλιμα φορτία σε κωδικοποιημένες σειρές εγγράφων HTML που επισυνάπτονται στο μήνυμα δέλεαρ.

Μια παραλλαγή της εκστρατείας παραδίδει ένα αρχείο ZIP με ένα κακόβουλο αρχείο LNK που εκτελεί το PowerShell όταν εκκινείται, εξάγοντας ένα αρχείο και αποθηκεύοντάς το στον προσωρινό κατάλογο των Windows.

Το εξαγόμενο αρχείο περιέχει τρία αρχεία, το ένα είναι ένα νόμιμο εκτελέσιμο αρχείο (είτε “robotaskbaricon.exe” είτε “passwordgenerator.exe”) από μια παλαιότερη έκδοση του προγράμματος διαχείρισης κωδικών πρόσβασης RoboForm που επέτρεπε τη φόρτωση αρχείων DLL που δεν σχετίζονται με την εφαρμογή, μια τεχνική που ονομάζεται παράπλευρη φόρτωση DLL.

Τα άλλα δύο αρχεία είναι ένα κακόβουλο DLL (Roboform.dll) που φορτώνεται πλευρικά χρησιμοποιώντας ένα από τα δύο νόμιμα εκτελέσιμα αρχεία και το “data.dat” – το οποίο περιέχει τον trojan απομακρυσμένης πρόσβασης PlugX (RAT) που εκτελείται μέσω του PowerShell.

Η δεύτερη παραλλαγή της αλυσίδας επίθεσης χρησιμοποιεί λαθρεμπόριο HTML για τη λήψη ενός αρχείου JavaScript που εκτελεί ένα αρχείο MSI μετά τη λήψη του από τον διακομιστή εντολών και ελέγχου του εισβολέα (C2).

Στη συνέχεια, το MSI δημιουργεί έναν νέο φάκελο στον κατάλογο “%appdata%\Local” και αποθηκεύει τρία αρχεία: ένα νόμιμο εκτελέσιμο αρχείο που έχει παραβιαστεί, το DLL φορτωτή και το κρυπτογραφημένο ωφέλιμο φορτίο PlugX (‘data.dat’).

Και πάλι, το νόμιμο πρόγραμμα εκτελείται και το κακόβουλο λογισμικό PlugX φορτώνεται στη μνήμη μέσω DLL sideloading σε μια προσπάθεια να αποφευχθεί ο εντοπισμός.

Για να διασφαλιστεί το persistence, το malware δημιουργεί έναν κρυφό κατάλογο όπου αποθηκεύει τα νόμιμα εκτελέσιμα και κακόβουλα αρχεία DLL και προσθέτει το πρόγραμμα στο κλειδί μητρώου «Εκτέλεση».

Μόλις το PlugX εγκατασταθεί και εκτελεστεί στο μηχάνημα του θύματος, μπορεί να φορτώσει ένα παραπλανητικό αρχείο PDF για να αποσπάσει την προσοχή του θύματος και να μειώσει τις υποψίες του.

Το PlugX είναι ένα modular RAT που χρησιμοποιείται από πολλά κινεζικά APT από το 2008. Έρχεται με ένα ευρύ φάσμα λειτουργιών που περιλαμβάνουν εξαγωγή αρχείων, λήψη στιγμιότυπων οθόνης, καταγραφή πλήκτρων και εκτέλεση εντολών.

Ενώ το κακόβουλο λογισμικό συνδέεται συνήθως με ομάδες APT, έχει χρησιμοποιηθεί επίσης από απειλητικούς φορείς κυβερνοεγκληματικών.

Ωστόσο, η έκδοση του κακόβουλου λογισμικού που είδε η Check Point να αναπτύσσεται στην εκστρατεία SmugX είναι σε μεγάλο βαθμό η ίδια με αυτές που παρατηρήθηκαν σε άλλες πρόσφατες επιθέσεις που αποδίδονται σε Κινέζο αντίπαλο, με τη διαφορά ότι χρησιμοποιούσε το κρυπτογράφημα RC4 αντί για XOR.

Με βάση τις λεπτομέρειες που αποκαλύφθηκαν, οι ερευνητές της Check Point πιστεύουν ότι η εκστρατεία SmugX αποδεικνύει ότι οι κινεζικές ομάδες απειλών ενδιαφέρονται όλο και περισσότερο για ευρωπαϊκούς στόχους, πιθανότατα για κατασκοπεία.

Πηγή πληροφοριών: bleepingcomputer.com