Хакерская группировка, подозреваемая в связях с коммунистической партией Китая, атаковала министерства иностранных дел и посольства в Европе, используя технику HTML Smuggling для доставки трояна PlugX на заражённые системы.
Об этом сообщилакомпания по кибербезопасности Check Point, которая назвала эту операцию SmugX. По её данным, вредоносная кампания ведется с декабря 2022 года.
“В рамках кампании используются новые методы доставки PlugX, программы-шпиона, которая часто связывается с различными китайскими угрозами”, – говорится в отчёте Check Point.
“Хотя сама полезная нагрузка остается похожей на ту, что была в старых версиях PlugX, её методы доставки обеспечивают низкий уровень обнаружения, который до недавнего времени помогал кампании оставаться незамеченной”, – добавили специалисты.
Какая группировка ответственена за эту операцию – пока неясно наверняка, однако имеющиеся улики указывают на группировку Mustang Panda, которая также имеет пересечения с другими кластерами угроз, известными как Earth Preta, RedDelta и Camaro Dragon по классификации Check Point. Исследователи также заявили, что на данный момент “недостаточно доказательств” для окончательной атрибуции этого хакерского коллектива.
Последняя атака в рамках кампании SmugX примечательна тем, что использует HTML Smuggling – хитрую технику, при которой киберпреступники злоупотребляют законными возможностями HTML5 и JavaScript для сборки и запуска вредоносного ПО в обманных документах, прикрепленных к фишинговым электронным письмам.
“HTML Smuggling использует атрибуты HTML5, которые могут работать в автономном режиме, храня бинарный файл в неизменяемом блоке данных внутри кода JavaScript. Данные блока или встроенной полезной нагрузки декодируются в файловый объект при открытии через веб-браузер”, – отметила Trustwave в феврале этого года.
Анализ документов, которые были загружены в базу данных вредоносного ПО VirusTotal, показывает, что они предназначены для атаки дипломатов и государственных структур в Чехии, Венгрии, Словакии, Великобритании, а также вероятно Франции и Швеции.
Многоступенчатый процесс заражения использует знакомый метод DLL Sideloading для расшифровки и запуска окончательной полезной нагрузки – PlugX.
PlugX, в свою очередь, – это программа-шпион, которая появилась еще в 2008 году и является модульным трояном, способным поддерживать “разнообразные плагины с различными функциональными возможностями”, позволяющими своим операторам осуществлять кражу файлов, захват экрана, регистрацию нажатий клавиш и выполнение команд.
“В ходе нашего исследования образцов злоумышленник отправил пакетный скрипт, полученный от C2-сервера, предназначенный для стирания любых следов своей деятельности”, – сообщили в Check Point.
“Этот скрипт, названный уничтожает законный исполняемый файл, DLL-загрузчик PlugX и ключ реестра, используемый для сохранения, а затем удаляет сам себя. Вероятно, это результат того, что злоумышленники осознали, что они находятся под пристальным вниманием”, – заключили исследователи.