A SmugX Kampány Célpontjában az Európai Külügyi Hivatalok

A Check Point Research (CPR) a közelmúltban hosszabb ideje figyelemmel kíséri a kínai kiberfenyegetések fokozódó tevékenységét, melyek elsősorban az európai külügyi hivatalokat és nagykövetségeket vették célkeresztbe. A CPR már korábban is beszámolt a hasonló jellegű kínai kibertámadásokról, melyek arra utalnak, hogy az ázsiai ország kiberfenyegetései egyre inkább az európai külpolitikai intézményekre koncentrálnak.

SmugX: Új Kiberfenyegetési Technikák Érkeztek

Az ebben a jelentésben bemutatott tevékenység egy olyan technikát alkalmaz, amelyet HTML-csempészésnek neveznek. Ez a módszeret elsősorban a kelet-európai kormányzati szervek ellen használják. A támadások kezdete visszavezethető 2022 decemberéig, és nagy valószínűséggel ez a hullám egy korábban észlelt, a RedDelta és a Mustang Panda csoportokhoz kapcsolt támadási kampány része.

Az újonnan észlelt kampány új technikákat alkalmaz a PlugX nevű implantátum terjesztésére, különösen az HTML-csempészeti technikát használva. Ez a terhelés számos kínai kiberfenyegető csoport eszköztárában megtalálható. Bár a terhelés maga hasonló a korábbi PlugX változatokhoz, a terjesztési technikák alacsony észlelési arányt eredményeznek, ezáltal a kampány rejtve maradhat.

Az HTML-csempészés Működése

Az HTML-csempészés technika a következőképpen működik:

1. Az ágyazott terhelés dekódolja a kódot, és menti azt JavaScript blob formájában, meghatározva a megfelelő fájltípust, mint például az application/zip.
2. A JavaScript kód dinamikusan hozza létre az „a” HTML elemet.
3. Létrehoznak egy URL objektumot. Egy hasonló hacker technika, az ún. „HTML-csempészés”, szintén előfordult, amelynek célja szintén az európai kormányzatok és nagykövetségek megcélzása. Az ilyen tevékenységek már 2022 decemberétől aktívak, és úgy tűnik, hogy egy előző kampány folytatásai, amelyeket a RedDelta és a Mustang Panda csoportokkal azonosítottak.Az új támadási technika a PlugX nevű implantátumot használja, különösen az HTML-csempészést. A PlugX népszerű eszköz a kínai kibertámadók körében. Bár maga az implantátum hasonló az előző változatokhoz, a terjesztési technikák olyan alacsony detektálási rátát eredményeznek, amelyek segítenek a kampánynak rejtőzni.
   

   HTML-csempészeti technika 101

   Pillantsunk bele az HTML-csempészés technikájába. Ez egy jól dokumentált módszer, amelyet kibertámadók és állami támogatású szereplők is alkalmaznak. Rosszindulatú fájlok kerülnek beágyazásra HTML dokumentumokban, így elkerülve a hálózatalapú észlelési módszereket. A SmugX kampányban az HTML-csempészés a következőképpen működik:

   1. A beágyazott terhelés a kódban dekódolódik, és egy JavaScript blob formájában kerül mentésre, meghatározva a megfelelő fájltípust, például „application/zip”.
   2. A JavaScript kód dinamikusan hozza létre az <a> elemet HTML helyett.
   3. URL objektumot hoznak létre a blobból a `createObjectURL` függvénnyel.
   4. A letöltés attribútum beállítása a kívánt fájlnévvel.
   5. Végül a kód kattintás eseménnyel indítja a fájl letöltését. Az idősebb böngészők esetén a kód az `msSaveOrOpenBlob`-ot használja a blob mentésére a kívánt fájlnévvel.

   Csalétek és célpontok

   A támadás célpontjai elsősorban kelet-európai kormányzati minisztériumok, a csalékdokumentumok nagy része diplomáciai tartalmú. Néhány esetben a tartalom közvetlenül Kínához kapcsolódott. Az érintett országok között található Magyarország, Románia, Bulgária és Szlovákia, de érintett még Franciaország és Németország is. Ez az agresszív kampány továbbra is fennáll, és folyamatosan monitorozás alatt áll.

   Forrás: adatmegsemmisites.hu