.
A Checkpoint, empresa de segurança da informação, diz que detectou um ator chinês visando instalações diplomáticas em toda a Europa.
A Checkpoint apelidou a campanha de “SmugX” graças ao uso de contrabando de HTML para implantar o trojan de acesso remoto PlugX.
Oh não, aquele snap do Telescópio Espacial James Webb pode realmente conter malware
O contrabando de HTML é um método de ataque que coloca artefatos maliciosos em uma página da Web, para que sejam baixados quando um humano visita o site. Pode ser um ataque eficaz porque as defesas não se concentram em encontrar ameaças no tráfego para os navegadores.
Nesse ataque, os sites infectados fornecem um arquivo JavaScript ou ZIP que contém uma carga útil.
Checkpoint detectou downloads, incluindo:
- Uma carta proveniente da embaixada da Sérvia em Budapeste;
- Um documento que define as prioridades da Presidência Sueca do Conselho da União Europeia;
- Um convite para uma conferência diplomática emitido pelo Ministério das Relações Exteriores da Hungria;
- Um artigo sobre dois advogados chineses de direitos humanos condenados a mais de uma década de prisão.
Esses documentos não eram o que pareciam: clicar nos arquivos foi iniciado em um processo que instalou o malware PlugX na máquina da vítima, o que significa que os invasores podem obter acesso a essa caixa. O PlugX telefona para casa usando criptografia RC4 para mascarar sua saída.
A Checkpoint afirma que os documentos de atração listados acima, e alguns tradecraft, sugerem que o objetivo do ataque é encontrar informações suculentas de embaixadas e departamentos de relações exteriores. A empresa viu o ataque implantado na Ucrânia, República Tcheca, Hungria, Eslováquia e Reino Unido, com golpes laterais na França e na Suécia.
A campanha tem semelhanças com outras realizadas pelos grupos APT ligados à China, RedDelta e Mustang Panda. A Checkpoint recentemente vinculou as atividades da última gangue a outra gangue adjacente à China campanha visando os interesses europeus.
“O SmugX faz parte de uma tendência maior que estamos vendo de agentes de ameaças chineses mudando seu foco para a Europa”, de acordo com a Checkpoint.
“Embora nenhuma das técnicas observadas nesta campanha seja nova ou única, a combinação de diferentes táticas e a variedade de cadeias de infecção resultando em baixas taxas de detecção permitiram que os agentes de ameaças permanecessem sob o radar por um bom tempo”, disse o pesquisadores escreveram. Felizmente, a carga útil do PlugX não mudou muito, o que significa que as medidas de detecção e defesa são quantidades conhecidas. ®
.
