Güvenlik araştırmacılarının SMUGX adlı ve bir Çin tehdit oyuncusuna atfedilen bir kimlik avı kampanyası, Aralık 2022'den bu yana İngiltere, Fransa, İsveç, Ukrayna, Çek, Macaristan ve Slovakya'daki büyükelçilikleri ve dışişleri bakanlıklarını hedefliyor.
Siber güvenlik şirketi Check Point'teki araştırmacılar, saldırıları analiz etti ve daha önce Mustang Panda ve Reddelta olarak izlenen gelişmiş kalıcı tehdit (APT) gruplarına atfedilen aktivite ile örtüşmeler gözlemlediler.
Cazibe belgelerine bakıldığında, araştırmacılar genellikle Avrupa yerli ve dış politikaları etrafında temalı olduklarını fark ettiler.
Soruşturma sırasında toplanan kontrol noktası olan örnekler arasında:
SMUGX kampanyasında kullanılan yemler, tehdit oyuncunun hedef profiline ihanet eder ve casusluğu kampanyanın muhtemel hedefi olarak gösterir.
Check Point, SMUGX saldırılarının, her ikisi de HTML kaçakçılığı tekniğini kullanan iki enfeksiyon zincirine dayandığını gözlemledi.
Kampanyanın bir varyantı, bir arşivi çıkarmak ve Windows geçici dizine kaydetmek için piyasaya sürüldüğünde PowerShell'i çalıştıran kötü amaçlı bir LNK dosyasına sahip bir ZIP arşivi sunar.
Çıkarılan arşiv, roboform şifre yöneticisinin eski bir sürümünden, uygulama ile ilgisiz yüklenmesine izin veren Roboform şifre yöneticisinin eski bir sürümünden, biri meşru yürütülebilir (ya "robotaskbaricon.exe" veya "PasssinggeGenerator.exe") olmak üzere üç dosya içerir, DLL sideloading adlı bir teknik .
Diğer iki dosya, PowerShell aracılığıyla yürütülen Plugx Remote Access Trojan'ı (sıçan) içeren iki meşru yürütülebilir ürünlerden biri kullanılarak yan yüklenen kötü amaçlı bir DLL (roboform.dll).
Saldırı zincirinin ikinci varyantı, saldırganın komut ve kontrol (C2) sunucusundan indirdikten sonra bir MSI dosyasını yürüten bir JavaScript dosyasını indirmek için HTML kaçakçılığı kullanır.
MSI daha sonra "%appdata%\ local" dizininde yeni bir klasör oluşturur ve üç dosyayı depolar: kaçırılmış bir meşru yürütülebilir dosyası, yükleyici DLL ve şifrelenmiş plugx yükü ("data.dat").
Yine, meşru program yürütülür ve Plugx kötü amaçlı yazılım, algılamayı önlemek için DLL kenar yükleme yoluyla belleğe yüklenir.
Kalıcılığı sağlamak için, kötü amaçlı yazılım, meşru yürütülebilir ve kötü amaçlı DLL dosyalarını depoladığı gizli bir dizin oluşturur ve programı "Çalıştır" kayıt defteri tuşuna ekler.
Plugx kurbanın makinesinde yüklendikten ve çalıştırıldıktan sonra, kurbanı rahatsız etmek ve şüphelerini azaltmak için aldatıcı bir PDF dosyası yükleyebilir.
Plugx, 2008'den beri birden fazla Çin APT'si tarafından kullanılan modüler bir sıçandır. Dosya açığa çıkma, ekran görüntüleri alma, keyloglama ve komut yürütme içeren çok çeşitli işlevler ile birlikte gelir.
Kötü amaçlı yazılım tipik olarak APT gruplarıyla ilişkili olsa da, siber suçlu tehdit aktörleri tarafından da kullanılmıştır.
Bununla birlikte, Check Point'in SMUGX kampanyasında konuşlandırıldığı sürüm, bir Çin düşmanına atfedilen diğer son saldırılarda görülenlerle aynıdır ve XOR yerine RC4 şifresini kullanır.
Ortaya çıkan ayrıntılara dayanarak, Check Point araştırmacıları, SMUGX kampanyasının Çin tehdit gruplarının casusluk için muhtemel Avrupa hedefleriyle ilgilendiğini gösterdiğine inanıyor.
Çin APT15 hackerları yeni Graphican kötü amaçlı yazılımlarla yeniden ortaya çıkıyor
Asylum Ambuscade hacker'ları siber suçları casuslukla karıştırın
Beş yıllık saldırılardan sonra ortaya çıkan gizli merdoor kötü amaçlı yazılım
Barracuda Esg Sıfır Gün saldırıları şüpheli Çinli hackerlarla bağlantılı
Çinli bilgisayar korsanları vmware esxi sıfır gününü arka kapı vms için kullandı
Kaynak: Bleeping Computer