Son aylarda CPR (Check Point Research), Avrupa Dışişleri bakanlıklarına ve büyükelçiliklerine saldıran Çinli bir tehdit aktörünü izledi.
Check Point Research, özellikle Avrupalı kuruluşları ve onların dış politikasını hedef alan daha geniş bir Çin faaliyeti eğilimi belirledi.
.png
)
Güvenlik analistleri, tehdit aktörlerinin HTML Kaçakçılığı kullanarak bulunduğunu tespit ederken.
Aralık 2022’den beri bu kampanya devam ediyor ve muhtemelen daha önce ifşa edilmiş bir RedDelta kampanyasının doğrudan bir uzantısı.
Bu kampanyada, çeşitli Çinli tehdit aktörleriyle bağlantılı yeni bir implant çeşidi olan “PlugX”i konuşlandırmak için birkaç yeni dağıtım yöntemi kullanıldı.
HTML Kaçakçılığı teknik
SmugX kampanyasında, JavaScript veya ZIP dosyası indirmelerine yol açan HTML Kaçakçılığı uygulanır.
Cazibe temaları, esas olarak Avrupa iç ve dış politikalarına odaklandıklarından, öncelikle Doğu Avrupa’daki hükümet bakanlıklarını hedef alır.
Belgelerin çoğu diplomatik içeriğe sahipti ve bazıları birden çok durumda doğrudan Çin ile bağlantılıydı. Yemler şunları içerir: –
- Budapeşte’deki Sırp büyükelçiliğinden gelen bir mektup.
- Avrupa Birliği Konseyi İsveç Dönem Başkanlığı’nın önceliklerini belirten bir belge.
- Macaristan Dışişleri Bakanlığı tarafından düzenlenen bir diplomatik konferansa davet.
- On yıldan fazla hapis cezasına çarptırılan iki Çinli insan hakları avukatı hakkında bir makale.
Güvenlik analistleri tarafından analizleri sırasında “Çin Uygur Tanınmış Konuşmacıyı UN.docx’te Engellemeye Çalışıyor” adlı bir belge keşfedildi ve VirusTotal’a yüklendi.
Bunun yanı sıra, aşağıdaki URL’ye erişmek için, belge bir uzak görüntü tekniği kullanır ve kullanıcıdan sakladığı tek piksellik bir görüntü içerir:-
- https://www[.]jcswcd[.]com/?wd=cqyahznz
Saldırganın sunucusu uzak görüntü için bir istek aldığında aşağıdaki bilgileri günlüğe kaydeden yaygın bir keşif aracı olan Piksel izleme olarak bilinir:-
- IP adresi
- kullanıcı aracısı
- Erişim süresi
Enfeksiyon Zincirleri
Toplamda, kurbanın tarayıcı ayarlarına göre İndirme klasöründe ikinci aşamayı depolayan bir HTML dosyasından kaynaklanan iki enfeksiyon zinciri vardır.
Bir zincir, bir ZIP dosyası içinde kötü amaçlı bir LNK dosyası dağıtırken, diğer zincir uzak bir sunucudan bir MSI dosyası getirmek için JavaScript kullanır.
2008’den beri Çinli tehdit aktörleri tarafından kullanılan PlugX kötü amaçlı yazılımı, nihai yük görevi görüyor ve esnek eklenti entegrasyonu için modüler bir yapıya sahip bir uzaktan erişim aracı (RAT) olarak çalışıyor.
Kalıcılık için PlugX yükü, hem meşru programı hem de DLL’yi çoğaltır ve yeni oluşturulan gizli bir dizinde gizler.
Bu kampanyada kullanılan tekniklerin hiçbiri keşfedilmemiş olsa da, çok çeşitli taktiklerin ve düşük tespit oranlarına sahip bulaşma zincirlerinin karışımı, tehdit aktörlerinin uzun süre tespit edilmeden kalmasına izin verdi.
“Yapay zeka tabanlı e-posta güvenlik önlemleri İşletmenizi E-posta Tehditlerinden Koruyun!” – Ücretsiz Demo İsteyin.