Egy kínai állami csoportot figyeltek meg, amely az HTML Smuggling technikákat használva célzott európai Külügyminisztériumokra és nagykövetségekre, hogy a PlugX távoli hozzáférésű trójai programot telepítse a megsértett rendszerekre. A Check Point kiberbiztonsági cég szerint az aktivitás, melyet SmugX néven emlegetnek, legalább 2022 decemberétől folytatódik, és arra utal, hogy a kínai ellenségek egyre inkább Európára koncentrálnak. “A kampány új szállítási módszereket használ (elsősorban az HTML Smugglinget) egy új PlugX változat telepítésére, mely általában a kínai fenyegető szereplőkhöz köthető.” – mondta a Check Point. Bár a terhelés önmagában hasonló a korábbi PlugX változatokhoz, a szállítási módszerei alacsony detektálási rátákat eredményeznek, amelyek eddig segítették a kampányt a radar alatt maradni.

Az új támadási sorozat jelentősége az HTML Smuggling használatában rejlik

Ez egy ravasz technikában, melyben legitim HTML5 és JavaScript funkciókat használnak fel a rosszindulatú szoftver összeállítására és elindítására – a gerilla stílusú phishing e-mailekhez csatolt csali dokumentumokban. “Az HTML Smuggling az HTML5 attribútumokat használja, amelyek offline is működhetnek egy bináris adatokból álló, változtathatatlan adatblokk tárolásával a JavaScript kódon belül,” jegyezte meg a Trustwave ebben a februárban. “Az adatblokk, vagy a beágyazott terhelés, fájlobjektummá dekódolódik, ha azt egy webböngészővel nyitjuk meg.” A dokumentumok elemzése, amelyeket a VirusTotal rosszindulatú szoftver-adatbázisba töltöttek fel, azt mutatja, hogy diplomáciai és kormányzati szerveket céloznak meg Csehországban, Magyarországon, Szlovákiában, az Egyesült Királyságban, Ukrajnában, és valószínűleg Franciaországban és Svédországban is.

Korplug: a trójai hosszú múltra tekint vissza

A Korplug néven is ismert rosszindulatú szoftver 2008 óta létezik, és moduláris trójai, amely képes “különböző pluginokkal rendelkezni különböző funkcionalitásokkal”, amelyek lehetővé teszik a kezelők számára a fájllopás, képernyőképek, billentyűleütés-naplózás és parancsvégrehajtás. “Az elemzések során a fenyegető szereplő egy kötegscriptet küldött, amelyet a C&C szerverről küldtek, és amelynek célja volt minden nyomuk eltüntetése,” mondta a Check Point. “Ez a script, melynek neve del_RoboTask Update.bat, eltünteti a legitim végrehajtható fájlt, a PlugX betöltő DLL-t, és a kitartásra létrehozott registry kulcsot, majd végül önmagát törli. Valószínű, hogy ez a fenyegető szereplők tudatosságának eredménye, mivel rájöttek, hogy figyelemmel kísérik őket.” Forrás: www.thehackernews.com