Çinli bir tehdit grubu, PlugX uzaktan erişim Truva Atı’nı (RAT) yaymayı amaçlayan bir kampanyada, muadilleri tarafından Avrupalı politika yapıcıları hedef almak için uzun süredir kullanılan gizli bir HTML tekniğini benimsedi.
Son iki ay boyunca, Check Point Research (CPR) analistleri, SmugX olarak adlandırdıkları etkinliği izliyor çünkü HTML belgelerinin içine kötü amaçlı yükler yerleştirmek için bir teknik olan HTML Kaçakçılığı adlı bir saldırı vektörü kullanıyor. bu hafta başlarında yayınlanan bir raporda ortaya çıktı.
Kampanya en az Aralık ayından beri devam ediyor ve Çin APT Mustang Panda’nın (aka Camaro Dragon veya Bronze President) çalışmalarının yanı sıra Çin APT RedDelta’ya atfedilen daha önce bildirilen bir kampanyayla doğrudan bir bağlantısı var gibi görünüyor. Araştırmaya göre, SmugX’i her iki grupla kesin olarak ilişkilendirmek için yetersiz kanıt”.
Üstelik Check Point, Mustang Panda ve Camaro Dragon’u iki ayrı varlığa ayırırken, diğer araştırmacılar ikisini tek ve aynı varlık olarak adlandırıyor; Bu arada RedDelta, Check Point araştırmacılarına göre her iki grupla da bağlantılı görünüyor.
SmugX, geçmişte tehdit kampanyalarında öncelikle Rusya, Asya ve ABD’ye odaklanan Çinli tehdit aktörleri için hedeflemede bir değişikliği temsil ediyor. Bununla birlikte, kendi kendine yayılan casusluk amaçlı kötü amaçlı yazılımları yaymak için USB sürücülerin kullanılmasına yönelik Mustang Panda ile bağlantılı yakın tarihli bir kampanya, bu grupların halihazırda küresel niyetlerinin bir parçası olarak Avrupa’da tehdit faaliyetlerinde bulunduklarını gösteriyordu.
SmugX ağırlıklı olarak Ukrayna, Çek Cumhuriyeti, Slovakya ve Macaristan dahil olmak üzere Doğu Avrupa ülkelerindeki ve İsveç, Fransa ve Birleşik Krallık’taki bakanlıkları hedefler. Kurbanları kandırmak için kullanılan belge tuzakları, Avrupa’nın iç ve dış politikalarına odaklanır ve özgün görünmek için tipik olarak ilgili ülkedeki kilit kurumları taklit eder.
SmugX Siber Saldırı Ayrıntıları
SmugX, kötü amaçlı yazılım dağıtım mekanizması olarak diplomatik içerikli HTML belgeleri kullanır. Birden fazla durumda, bu içerik doğrudan Çin ile ilgilidir – on yıldan fazla hapis cezasına çarptırılan iki Çinli insan hakları avukatı hakkında bir makale dahil.
Kampanyada kullanılan diğer belgeler, Budapeşte’deki Sırbistan büyükelçiliğinden gelen bir mektup; Avrupa Birliği Konseyi İsveç Dönem Başkanlığı’nın önceliklerini belirten bir belge; Macaristan Dışişleri Bakanlığı tarafından düzenlenen bir diplomatik konferansa davet.
Araştırmaya göre kötü amaçlı yazılım, bu HTML belgelerinin içine yerleştirilmiştir ve bu, ağ tabanlı tespit önlemlerinden kurtulmalarına olanak tanır.
Kötü amaçlı HTML belgelerinden birinin açılması, yerleşik yükü içeren bir JavaScript’in kodunun çözülmesiyle sonuçlanır; bu örnekte bu, Çinli tehdit aktörleri tarafından 2008’den beri kullanılan bir RAT olan PlugX’tir. farklı işlevlere sahip birkaç farklı eklentiyi barındıran modüler bir yapı kullanan RAT’ın konuşlandırılmasına.
Rapora göre, “Bu, saldırganların güvenliği ihlal edilmiş sistemlerde dosya hırsızlığı, ekran yakalama, tuş vuruşu günlüğü ve komut yürütme dahil olmak üzere bir dizi kötü amaçlı etkinlik gerçekleştirmesini sağlıyor.”
PlugX yükü, önce meşru programı ve DLL’yi kopyalayan ve ardından bunları, ayrı bir gizli klasörde saklanan şifreli yük ile oluşturduğu gizli bir dizinde saklayan bir süreçte kalıcılığını sağlar. Kötü amaçlı yazılım daha sonra meşru programı Run kayıt defteri anahtarına ekler.
PlugX, RAT’lara Karşı Savunma Manevraları
Kampanyada kullanılan teknikler veya kötü amaçlı yazılımlar yeni olmasa da SmugX, farklı taktikleri nasıl bir araya getirdiği ve kolayca tespit edilememe olasılığı nedeniyle hedeflenen kuruluşlar için bir zorluk teşkil ediyor. Check Point’e göre bu, “tehdit aktörlerinin uzun bir süre radarın altında kalmasına” izin veriyor.
Kuruluşların güvenliğinin ihlal edilip edilmediğini belirlemesine yardımcı olmak için rapor, HTML adreslerini, arşivleri, JavaScript parçacıklarını, şifrelenmiş yük dosyalarını, IP’leri ve etki alanlarını ve daha fazlasını kapsayan kapsamlı bir güvenlik ihlali göstergeleri (IoC’ler) listesi içerir.
Çalışanlar, kurumsal bir ağ kullanırken bilinmeyen bağlantılara veya dosyalara tıklamaktan her zaman sakınmalı ve İnternetten yeni bir şey indirmeden önce BT departmanlarına danışmalıdır. Ayrıca, Check Point’e göre, tehdit öykünmesi ve uç nokta algılama stratejilerinin kapsamlı bir kombinasyonu SmugX gibi saldırılara karşı da savunma yapabilir.