SmugX kampanyasının saldırı yöntemi, kurbanları hedeflemek için HTML kaçakçılığını kullanan saldırganları içerir.
Check Point Research’ün (CPR) siber tehdit istihbaratı araştırmacıları, rahatsız edici bir saldırı eğilimi keşfetti. CPR’nin 3 Temmuz 2023’te yayınlanan raporuna göre Çinli tehdit aktörleri, Avrupa hükümetlerini, büyükelçiliklerini ve yabancı yerel politika yapıcı varlıkları hedef almakla giderek daha fazla ilgilenmeye başladı. Doğu Avrupa, öncelikli hedefleri arasında Slovakya, Çek Cumhuriyeti ve Macaristan olmak üzere tercih ettikleri hedefler arasındadır.
Bu yeni keşfedilen kampanyanın adı SmugX. Araştırmacılar, bu kampanyanın Aralık 2022’den beri aktif olduğunu iddia ediyor ancak daha önce keşfedilen Mustang Panda ve RedDelta ile bağlantılı bir kampanyanın uzantısı olduğuna inanıyorlar. İlginç bir şekilde, her iki grup da Çinli.
Saldırı yöntemiyle ilgili olarak, araştırmalar SmugX’te saldırganların Avrupa büyükelçiliklerini hedeflemek için HTML kaçakçılığı kullandığını ortaya çıkardı. Bu yöntemde, modüler PlugX kötü amaçlı yazılım implantı, HTML belgelerinin içine kaçırılır (gizlenir).
Bilgisayar korsanları bu tekniği web güvenlik sistemlerini kandırmak ve antivirüs mekanizmalarından veya güvenlik savunmalarından kaçmak için kullanır. HTML kaçakçılığı, kötü amaçlı veri belgelerini, hedeflenen cihazda yeniden birleştirilen JavaScript blobları da dahil olmak üzere, otomatik içerik filtrelerinden gizlemek için HTML özelliklerinden yararlanır.
PluxX’in HTML kaçakçılığı için yaygın olarak kullanılan bir araç olduğunu belirtmekte fayda var. 2020’de Vatikan’ı veya 2021’de Endonezya İstihbarat Teşkilatını hedef alan grup gibi birden fazla Çinli tehdit aktörü bu kötü amaçlı yazılımı daha önce kullandı. Kötü amaçlı yazılım ayrıca Moğolistan, Gana, Papua Yeni Gine ve Nijerya’daki kullanıcıları hedeflemek için kullanıldı. ve USB sürücü tabanlı bir kampanyada Zimbabwe.
CPR araştırmacıları, SmugX’in birincil amacının, hedeflenen ülkelerin dış politikaları hakkında hassas veriler elde etmek olduğu konusunda hemfikirdir. Bu analiz, VirusTotal’daki kötü amaçlı yazılım deposuna gönderilen yem örneklerine dayanmaktadır. Bu örneklerin dosya adları açıklayıcıydı.
Araştırmacılar, isimlerin saldırganların diplomatları ve devlet kurumlarını hedef almak istediğini kuvvetle öne sürdüğünü, oysa içeriğin ağırlıklı olarak Çin ile ilgili diplomatik içerik içerdiğini yazdı. Saldırı, diplomatik içerik içeren birkaç .docx ve .pdf dosyası kullanır.
CPR araştırmacıları, Budapeşte’deki Sırbistan büyükelçiliğinden bir mektup, Avrupa Birliği Konseyi’nin İsveç Başkanlığı’nın önceliklerini ortaya koyan bir belge ve Macaristan dışişleri bakanlığından diplomatik bir konferans daveti aldı.
Araştırmacılar ayrıca on yıl hapis cezasına çarptırılan iki Çinli insan hakları avukatı hakkında bir makale keşfettiler. İşte bu belgelerin başlıkları:
- 202305 Göstergesel Planlama RELEX
- Taslak Prag Süreci Eylem Planı_SOM_EN
- 2262_3_PrepCom_Proposal_next_meeting_26_Nisan
- Yorumlar FRANSA – EU-CELAC Zirvesi – 4 Mayıs
- Çin, Subversion için iki insan hakları avukatını hapse attı
“Bu kampanyada gözlemlenen tekniklerin hiçbiri yeni veya benzersiz olmasa da, farklı taktiklerin kombinasyonu ve düşük tespit oranlarıyla sonuçlanan çeşitli enfeksiyon zincirleri, tehdit aktörlerinin uzun bir süre radarın altında kalmasını sağladı.” araştırmacılar kaydetti.
CPR hala SmugX aktivitelerini araştırıyor ve izliyor ve yakında yeni detayları paylaşacak. SmugX ile ilgili en son güncellemeler için lütfen bu platformu ziyaret etmeye devam edin.
İLGİLİ MAKALELER
- Killnet, DDoS Saldırısı ile Avrupa Parlamentosu Web Sitesini Vurdu
- Araştırma sektörü, Google Drive kullanan yeni kimlik avı saldırısında isabet aldı
- COVID-19 ile ilgili Sahte DSÖ E-postaları Avrupa Genelinde Nerbian RAT’ı Düşürdü
- Android ve iOS Cihaz İstismarları Sunan Avrupa Casus Yazılım Satıcısı
- Zimbra e-posta platformu kusuru, Avrupa devlet e-postalarını çalmak için kullanıldı