Hackers target European government entities in SmugX campaign
แคมเปญฟิชชิ่งที่นักวิจัยด้านความปลอดภัยตั้งชื่อว่า SmugX และระบุว่าเป็นผู้คุกคามชาวจีน กำหนดเป้าหมายสถานทูตและกระทรวงการต่างประเทศในสหราชอาณาจักร ฝรั่งเศส สวีเดน ยูเครน เช็ก ฮังการี และสโลวาเกีย ตั้งแต่เดือนธันวาคม 2565 นักวิจัยจาก Check Point บริษัทรักษาความปลอดภัยทางไซเบอร์วิเคราะห์การโจมตีและสังเกตการทับซ้อนกับกิจกรรมก่อนหน้านี้ซึ่งเกิดจากกลุ่มภัยคุกคามขั้นสูงแบบถาวร (APT) ที่ติดตามในชื่อ Mustang Panda และ RedDelta เมื่อพิจารณาจากเอกสารล่อ นักวิจัยสังเกตเห็นว่าโดยทั่วไปแล้วเอกสารเหล่านั้นมีเนื้อหาเกี่ยวกับนโยบายภายในประเทศและต่างประเทศของยุโรป
ตัวอย่างที่ด่านตรวจเก็บได้ระหว่างการสอบสวน ได้แก่ • จดหมายจากสถานทูตเซอร์เบียในกรุงบูดาเปสต์ • เอกสารระบุลำดับความสำคัญของตำแหน่งประธานสภาสหภาพยุโรปแห่งสวีเดน • คำเชิญเข้าร่วมการประชุมทางการทูตที่ออกโดยกระทรวงการต่างประเทศของฮังการี • บทความเกี่ยวกับนักกฎหมายสิทธิมนุษยชนชาวจีนสองคน เหยื่อล่อที่ใช้ในแคมเปญ SmugX หักหลังโปรไฟล์เป้าหมายของผู้คุกคามและบ่งชี้ว่าหน่วยสืบราชการลับเป็นเป้าหมายที่เป็นไปได้ของการรณรงค์ Check Point สังเกตว่าการโจมตีของ SmugX อาศัยเครือข่ายการติดเชื้อสองเครือข่าย โดยทั้งคู่ใช้เทคนิคการลักลอบใช้ HTML เพื่อซ่อนเพย์โหลดที่เป็นอันตรายในสตริงเข้ารหัสของเอกสาร HTML ที่แนบมากับข้อความล่อ
รูปแบบหนึ่งของแคมเปญส่งไฟล์ ZIP ที่มีไฟล์ LNK ที่เป็นอันตรายซึ่งเรียกใช้ PowerShell เมื่อเปิดใช้งาน เพื่อแยกไฟล์เก็บถาวรและบันทึกลงในไดเร็กทอรีชั่วคราวของ Windows ไฟล์เก็บถาวรที่แยกออกมาประกอบด้วยไฟล์สามไฟล์ ไฟล์หนึ่งเป็นไฟล์ปฏิบัติการที่ถูกต้องตามกฎหมาย (robotaskbaricon.exe หรือ passwordgenerator.exe) จากเวอร์ชันเก่าของตัวจัดการรหัสผ่าน RoboForm ที่อนุญาตให้โหลดไฟล์ DLL ที่ไม่เกี่ยวข้องกับแอปพลิเคชัน ซึ่งเป็นเทคนิคที่เรียกว่า DLL sideloading . อีกสองไฟล์คือ DLL ที่เป็นอันตราย (Roboform.dll) ซึ่งถูกไซด์โหลดโดยใช้หนึ่งในสองไฟล์ปฏิบัติการที่ถูกต้องตามกฎหมาย และ data.dat ซึ่งมีโทรจันการเข้าถึงระยะไกล PlugX (RAT) ที่ดำเนินการผ่าน PowerShell รูปแบบที่สองของห่วงโซ่การโจมตีใช้การลักลอบใช้ HTML เพื่อดาวน์โหลดไฟล์ JavaScript ที่เรียกใช้งานไฟล์ MSI หลังจากดาวน์โหลดจากเซิร์ฟเวอร์คำสั่งและการควบคุม (C2) ของผู้โจมตี จากนั้น MSI จะสร้างโฟลเดอร์ใหม่ภายในไดเร็กทอรี %appdata%Local และจัดเก็บไฟล์สามไฟล์: ไฟล์ปฏิบัติการที่ถูกไฮแจ็ค ไฟล์ DLL ของตัวโหลด และเพย์โหลด PlugX ที่เข้ารหัส (data.dat)
https://www.bleepingcomputer.com/news/security/hackers-target-european-government-entities-in-smugx-campaign/