Как китайские хакеры распространяют троян PlugX через обычные веб-браузеры?

Неизвестная хакерская группировка, подозреваемая в связях с коммунистической партией Китая, атаковала министерства иностранных дел и посольства в Европе, используя технику HTML Smuggling для доставки трояна PlugX на заражённые системы. Об этом сообщила компания по кибербезопасности Check Point, которая назвала эту операцию SmugX. По данным исследователей, вредоносная кампания ведется с декабря 2022 года.

«В рамках кампании используются новые методы доставки PlugX, программы-шпиона, которая часто связывается с различными китайскими угрозами», — говорится в отчёте Check Point.

«Хотя сама полезная нагрузка остается похожей на ту, что была в старых версиях PlugX, методы её доставки обеспечивают низкий уровень обнаружения, который до недавнего времени помогал кампании оставаться незамеченной», — добавили специалисты.

Какая группировка ответственена за эту операцию — пока неясно наверняка, однако имеющиеся улики указывают на группировку Mustang Panda, которая также имеет пересечения с другими кластерами угроз, известными как Earth Preta, RedDelta и Camaro Dragon по классификации Check Point. Исследователи также заявили, что на данный момент «недостаточно доказательств» для окончательной атрибуции этого хакерского коллектива.

Последняя атака в рамках кампании SmugX примечательна тем, что использовала HTML Smuggling — хитрую технику, при которой киберпреступники злоупотребляют законными возможностями HTML5 и JavaScript для сборки и запуска вредоносного ПО в обманных документах, прикрепленных к фишинговым электронным письмам.

«HTML Smuggling использует атрибуты HTML5, которые могут работать в автономном режиме, храня бинарный файл в неизменяемом блоке данных внутри кода JavaScript. Данные блока или встроенной полезной нагрузки декодируются в файловый объект при открытии через веб-браузер», — отметила Trustwave в феврале этого года.

Анализ документов, которые были загружены в базу данных вредоносного ПО VirusTotal, показывает, что они предназначены для атаки дипломатов и государственных структур в Чехии, Венгрии, Словакии, Великобритании, а также, вероятно, Франции и Швеции.

Многоступенчатый процесс заражения использует уже до боли знакомый метод DLL Sideloading для расшифровки и запуска окончательной полезной нагрузки — PlugX.

PlugX, в свою очередь — это программа-шпион, которая появилась еще в 2008 году и является модульным трояном, способным поддерживать «разнообразные плагины с различными функциональными возможностями», позволяющими своим операторам осуществлять кражу файлов, захват экрана, регистрацию нажатий клавиш и выполнение команд.

«В ходе нашего исследования образцов злоумышленник отправил пакетный скрипт, полученный от C2-сервера, предназначенный для стирания любых следов своей деятельности», — сообщили в Check Point.

«Этот скрипт уничтожает законный исполняемый файл, DLL-загрузчик PlugX и ключ реестра, используемый для сохранения, а затем удаляет сам себя. Вероятно, это результат того, что злоумышленники осознали, что они находятся под пристальным вниманием», — заключили исследователи.

Источник: securitylab