Hacker nehmen europäische Regierungseinrichtungen ins Visier: SmugX-Kampagne

Seit Dezember 2022 werden in einer Phishing-Kampagne namens SmugX Botschaften und Außenministerien in Großbritannien, Frankreich, Schweden, der Ukraine, Tschechien, Ungarn und der Slowakei von einem chinesischen Bedrohungsakteur angegriffen.

Schlagworte:

Hacker nehmen europäische Regierungseinrichtungen ins Visier: SmugX-Kampagne

3. Juli 2023     Kategorie: IT & Sicherheit
map-smugx-angriffe-europa.jpg

Die Sicherheitsforscher des Cybersicherheitsunternehmens Check Point haben die Angriffe analysiert und dabei Überschneidungen mit Aktivitäten festgestellt, die zuvor den fortschrittlichen andauernden Bedrohungsgruppen Mustang Panda und RedDelta zugeschrieben wurden.

Bei der Untersuchung der Köderdokumente stellten die Forscher fest, dass sie typischerweise europäische Innen- und Außenpolitik zum Thema haben.

Zu den von Check Point gesammelten Beispielen gehören:
  • Ein Brief von der serbischen Botschaft in Budapest
  • Ein Dokument, das die Prioritäten der schwedischen Ratspräsidentschaft der Europäischen Union festlegt
  • Eine Einladung zu einer diplomatischen Konferenz des ungarischen Außenministeriums
  • Ein Artikel über zwei chinesische Menschenrechtsanwälte

Die Köder, die in der SmugX-Kampagne verwendet werden, verraten das Profil des Bedrohungsakteurs und deuten darauf hin, dass Spionage das wahrscheinliche Ziel der Kampagne ist.

SmugX campaign angriffs-kette.jpg

SmugX-Angriffsketten


Check Point stellte fest, dass SmugX-Angriffe auf zwei Infektionsketten beruhen, die beide die HTML-Schmuggeltechnik verwenden, um schädliche Nutzlasten in codierten Zeichenketten von HTML-Dokumenten zu verstecken, die an die Ködermeldung angehängt sind.

Eine Variante der Kampagne liefert ein ZIP-Archiv mit einer schädlichen LNK-Datei aus, die PowerShell ausführt, um ein Archiv zu extrahieren und in das Windows-Temporärverzeichnis zu speichern.

Das extrahierte Archiv enthält drei Dateien, wobei eine davon eine legitime ausführbare Datei ("robotaskbaricon.exe" oder "passwordgenerator.exe") aus einer älteren Version des Passwortmanagers RoboForm ist, die das Laden von DLL-Dateien ermöglicht, die nichts mit der Anwendung zu tun haben, eine Technik namens DLL-Sideloading.

Die anderen beiden Dateien sind eine schädliche DLL (Roboform.dll), die mithilfe einer der beiden legitimen ausführbaren Dateien sideloaded wird, und "data.dat" - in dem der PlugX Remote Access Trojaner (RAT) enthalten ist, der über PowerShell ausgeführt wird.

Die zweite Variante der Angriffskette verwendet HTML-Schmuggel, um eine JavaScript-Datei herunterzuladen, die nach dem Herunterladen von einem Command-and-Control (C2)-Server des Angreifers eine MSI-Datei ausführt.

Die MSI erstellt dann einen neuen Ordner im Verzeichnis "%appdata%\Local" und speichert drei Dateien: eine umgeleitete legitime ausführbare Datei, die Loader-DLL und die verschlüsselte PlugX-Nutzlast ("data.dat").

Erneut wird das legitime Programm ausgeführt und die PlugX-Malware wird über DLL-Sideloading in den Speicher geladen, um die Erkennung zu vermeiden.

Um die Beharrlichkeit sicherzustellen, erstellt die Malware ein verstecktes Verzeichnis, in dem sie die legitime ausführbare Datei und schädliche DLL-Dateien speichert, und fügt das Programm dem Registry-Schlüssel 'Run' hinzu.

Sobald PlugX auf dem Computer des Opfers installiert und ausgeführt wird, kann es eine irreführende PDF-Datei laden, um das Opfer abzulenken und den Verdacht zu verringern.
"Einige der von uns gefundenen PlugX-Nutzlasten schreiben einen irreführenden Köder in Form einer PDF-Datei in das %temp%-Verzeichnis und öffnen ihn dann. Der Dokumentenpfad wird in der PlugX-Konfiguration unter document_name gespeichert." - Check Point

PlugX ist ein modulares RAT, das seit 2008 von mehreren chinesischen APT-Gruppen verwendet wird. Es verfügt über eine Vielzahl von Funktionen, darunter Datei-Exfiltration, Screenshots, Keylogging und Befehlsausführung.

Obwohl die Malware in der Regel mit APT-Gruppen in Verbindung gebracht wird, wurde sie auch von kriminellen Bedrohungsakteuren eingesetzt.

Die Version, die Check Point in der SmugX-Kampagne entdeckt hat, ist jedoch weitgehend identisch mit denen, die in anderen kürzlich durchgeführten Angriffen einem chinesischen Gegner zugeschrieben wurden, mit dem Unterschied, dass sie den RC4-Verschlüsselungsalgorithmus anstelle von XOR verwendet.

Basierend auf den aufgedeckten Details sind die Forscher von Check Point der Meinung, dass die SmugX-Kampagne zeigt, dass chinesische Bedrohungsgruppen Interesse an europäischen Zielen haben, wahrscheinlich im Zusammenhang mit Spionage.
 
+ Multi-Zitat Zitieren
Auf dieses Thema antworten