Primijećeno je da jedna kineska hakerska grupa cilja na ministarstva vanjskih poslova i ambasade u Evropi koristeći HTML tehnike krijumčarenja kako bi isporučila PlugX trojanac za daljinski pristup na kompromitovane sisteme.
Firma za kibernetičku bezbjednost Check Point rekla je da aktivnost, nazvana SmugX, traje najmanje od decembra 2022. godine, dodajući da je to dio šireg trenda kineskih hakera koji prebacuju fokus na Evropu.
„Kampanja koristi nove metode isporuke za implementaciju, najčešće HTML Smuggling, nove varijante PlugX-a, implantata koji se obično povezuje sa širokim spektrom kineskih hakera“ rekao je Check Point.
“Iako je sam payload i dalje sličan onome koji se nalazi u starijim varijantama PlugX-a, njegove metode isporuke rezultuju niskim stopama otkrivanja, što je donedavno pomoglo kampanji da prođe ispod radara.”
Tačan identitet hakera koji stoji iza operacije je maglovit, iako postojeći tragovi upućuju na Mustang Panda-u, koji takođe dijeli preklapanja s klasterima praćenim kao Earth Preta, RedDelta i Check Point-ova vlastita oznaka Camaro Dragon.
Međutim, kompanija je saopštila da u ovoj fazi “nema dovoljno dokaza” da bi se to definitivno pripisalo suprotstavljenom kolektivu.
Najnovija sekvenca napada je značajna za korištenje HTML krijumčarenja, prikrivene tehnike u kojoj se legitimne HTML5 i JavaScript funkcije zloupotrebljavaju za sastavljanje i pokretanje malicioznog softvera, u dokumentima za mamce priloženim email-ovima za krađu identiteta.
“Krijumčarenje HTML-a koristi HTML5 atribute koji mogu raditi van mreže tako što pohranjuju binarni zapis u nepromjenjivi blok podataka unutar JavaScript koda” primijetio je Trustwave ranije u februaru. “Blob podataka, ili ugrađeni payload, se dekodira u objekt datoteke kada se otvori putem web pretraživača.”
Analiza dokumenata, koji su učitani u bazu podataka malicioznog softvera VirusTotal, otkriva da su dizajnirani da ciljaju diplomate i vladine subjekte u Češkoj, Mađarskoj, Slovačkoj, Velikoj Britaniji, Ukrajini, a vjerovatno i Francuskoj i Švedskoj.
U jednom slučaju, kaže se da je haker upotrijebio mamac s ujgurskom tematikom („Kina pokušava blokirati istaknutog ujgurskog govornika na UN.docx“) koji, kada se otvori, upućuje na vanjski server pomoću ugrađenog, nevidljivog praćenja piksel za eksfiltrovanje izviđačkih podataka.
Višestepeni proces infekcije koristi metode lateralnog učitavanja DLL-a za dešifrovanje i pokretanje konačnog payload-a, PlugX.
Takođe nazvan Korplug, maliciozni softver datira sve do 2008. godine i modularni je trojanac sposoban da prihvati “različite dodatke sa različitim funkcionalnostima” koji omogućavaju operaterima da izvrše krađu datoteka, snimanje ekrana, evidentiranje pritiska na tipku i izvršavanje naredbi.
“Tokom naše istrage uzoraka, haker je poslao skupnu skriptu, poslanu sa C&C servera, s namjerom da izbriše svaki trag o njihovim aktivnostima” rekao je Check Point.
“Ova skripta, nazvana del_RoboTask Update.bat, iskorijenjuje legitimnu izvršnu datoteku, PlugX loader DLL i ključ registra implementiran radi postojanosti, i na kraju se briše. Vjerovatno je to rezultat toga što su hakeri postali svjesni da su pod nadzorom.”
Izvor: The Hacker News