Nos últimos meses, a CPR (Check Point Research) monitorizou um ator chinês que atacava os ministérios e embaixadas dos Negócios Estrangeiros europeus.
A Check Point Research identificou uma tendência mais ampla da atividade chinesa, visando especificamente entidades europeias e a sua política externa.
Embora os analistas de segurança tenham identificado que os agentes de ameaças foram encontrados usando Contrabando de HTML.
Desde dezembro de 2022, esta campanha está em andamento e é provavelmente uma extensão direta de uma campanha RedDelta divulgada anteriormente.
Vários novos métodos de entrega foram usados nesta campanha para implantar uma nova variante de um implante, “PlugX”, que está ligado a vários atores de ameaças chineses.
Contrabando de HTML Técnica
Na campanha SmugX, o contrabando de HTML é aplicado, levando a downloads de arquivos JavaScript ou ZIP.
Os temas de atração visam principalmente os ministérios governamentais da Europa Oriental, uma vez que se concentram principalmente nas políticas internas e externas europeias.
A maioria dos documentos apresentava conteúdo diplomático, alguns deles diretamente ligados à China em vários casos. As iscas incluem: –
- Uma carta proveniente da embaixada da Sérvia em Budapeste.
- Um documento que estabelece as prioridades da Presidência Sueca do Conselho da União Europeia.
- Um convite para uma conferência diplomática emitido pelo Ministério das Relações Exteriores da Hungria.
- Um artigo sobre dois advogados de direitos humanos chineses condenados a mais de uma década de prisão.
Um documento chamado “China tenta bloquear proeminente orador uigure na ONU.docx” foi descoberto por os analistas de segurança durante sua análise e foi carregado no VirusTotal.
Além disso, para acessar a seguinte URL, o documento utiliza uma técnica de imagem remota, e contém uma imagem de pixel único que mantém oculta do usuário:-
- https://www[.]jcswcd[.]com/?wd=cqyahznz
É conhecido como rastreamento de pixel, uma ferramenta de reconhecimento comum que registra as seguintes informações quando o servidor do invasor recebe uma solicitação de imagem remota:-
- endereço de IP
- Agente de usuário
- Tempo de acesso
Cadeias de infecção
No total, existem duas cadeias de infecção que resultam de um arquivo HTML que armazena o segundo estágio na pasta Download de acordo com as configurações do navegador da vítima.
Uma cadeia implanta um arquivo LNK malicioso dentro de um arquivo ZIP, enquanto para buscar um arquivo MSI de um servidor remoto, a outra cadeia emprega JavaScript.
O malware PlugX, usado por agentes de ameaças chineses desde 2008, serve como carga final e é operado como uma ferramenta de acesso remoto (RAT) com uma estrutura modular para integração flexível de plug-ins.
Para persistência, a carga útil do PlugX duplica e oculta o programa legítimo e a DLL em um diretório oculto recém-criado.
Embora nenhuma das técnicas empregadas nesta campanha seja inexplorada, a combinação de uma ampla gama de táticas e cadeias de infecção com baixas taxas de detecção permitiu que os atores da ameaça permanecessem indetectados por um longo período de tempo.
