Společnost Check Point Research (CPR) v posledních měsících sledovala aktivity čínské hackerské skupiny, která se zaměřuje na ministerstva zahraničních věcí a ambasády na území Evropy.
Aktivita popsaná v reportu CPR využívá k útokům na vládní subjekty ve východní Evropě techniku HTML Smuggling. Popisovaná kampaň je aktivní nejméně od prosince 2022 a je pravděpodobně přímým pokračováním dřívější kampaně připisované skupině RedDelta (a do jisté míry také skupině Mustang Panda). Jejím cílem bylo získat citlivé informace o zahraniční politice.
Kampaň využívá nové metody k nasazení nové varianty malwaru PlugX, který je jinak běžně spojovaný s celou řadou čínských aktérů. Ačkoliv samotný payload zůstává podobný tomu, který se nachází ve starších variantách PlugX, způsoby jeho nasazení jsou jiné a velmi obtížně detekovatelné.
HTML Smuggling
Tato technika je velmi dobře popsaná v souvislosti s aktivitami kyberkriminálních i státem sponzorovaných skupin. Aktéři vkládají škodlivé soubory do HTML dokumentů, čímž se dokážou vyhnout detekčním síťovým opatřením.
Způsob, kterým je tato technika využita v současné kampani SmugX, vede ke stažení souboru JavaScript nebo archivního souboru ZIP. Otevření těchto škodlivých souborů má za následek následující řetězec událostí:
- vložený payload je dekódován a uložen do JavaScriptu jako aplikace nebo archiv,
- namísto použití HTML <a> jej JavaScript dynamicky vytvoří,
- je vytvořena URL pomocí funkce createObjectURL,
- stahování je nastaveno na požadovaný název souboru,
- dojde k vyvolání kliknutí, které simuluje klik uživatele na odkaz, a zahájí stahování souboru,
- u starších verzí prohlížečů využívá příkaz msSaveOrOpen k uložení payloadu s požadovaným názvem souboru.
Návnady a cíle
Témata přiložených dokumentů jsou silně zaměřena na domácí a zahraniční politiku a byla použita převážně k útokům na ministerstva ve východní Evropě.
Návnady a zacílené země kampaně SmugX (CPR)
Ve více než jednom případě se téma dokumentu přímo týkalo Číny. Mezi návnady nahrané na VirusTotal patří:
- dopis ze srbského velvyslanectví v Budapešti,
- dokument stanovující priority švédského předsednictví v Radě Evropské unie,
- pozvánka na diplomatickou konferenci vydaná maďarským ministerstvem zahraničních věcí,
- článek o dvou lidskoprávních advokátech z ČLR odsouzených k více než deseti letům vězení.
Samotná jména dokumentů silně naznačují, že zamýšlenými oběťmi byli diplomaté a vládní subjekty. Níže je několik příkladů použitých názvů:
- Draft Prague Process Action Plan_SOM_EN,
- 2262_3_PrepCom_Proposal_next_meeting_26_April,
- Comments FRANCE – EU-CELAC Summit – May 4,
- 202305 Indicative Planning RELEX,
- China jails two human rights lawyers for subversion.
Jedna z použitých návnad v kampani (CPR)
Infekční řetězec
Existují dva hlavní infekční řetězce. V první fázi oba vycházejí ze souboru HTML. Druhá fáze se může lišit – jeden řetězec využívá soubor ZIP, který obsahuje škodlivý soubor LNK, nebo je použit JavaScript ke stažení souboru MSI ze vzdáleného serveru. V obou případech dojde ke stažení souborů do složky Stažené soubory (Downloads) podle nastavení prohlížeče oběti.
Archivní řetězec SmugX
V prvním scénáři stáhne soubor HTML archiv ZIP, který obsahuje škodlivý soubor LNK spouštějící PowerShell. PowerShell extrahuje komprimovaný archiv vložený do souboru LNK a uloží jej do dočasného adresáře %temp%. Archiv s názvem tmp.zip nebo tmp<náhodné_číslo>.zip obsahuje tři soubory:
- legitimní spustitelný soubor sloužící k bočnímu načtení payloadu (buď robotaskbaricon.exe, nebo passwordgenerator.exe),
- škodlivou knihovnu DLL RoboForm.dll /zranitelnost v RoboFormu byla odstraněna od verze 9.3.7 pro Windows v jeho aktualizaci dne 1. listopadu 2022/,
- payload PlugX s názvem data.dat.
Přehled infekčních řetězců PlugX (CPR)
Řetězec SmugX obsahující JavaScript
Druhý scénář využívá HTML Smuggling ke stažení JavaScript souboru. Po spuštění tohoto souboru dojde ke stažení a spuštění souboru MSI ze serveru útočníků. MSI vytvoří v adresáři %appdata%\Local novou složku, do které uloží tři extrahované soubory. Ty tvoří legitimní spustitelný soubor, zavaděč DLL a zašifrovaný payload.
Malware PlugX využívá techniky sideloadingu DLL knihoven. Poté, co soubor LNK nebo MSI nahraje potřebné soubory, dojde ke spuštění legitimního programu, který následně načte škodlivou DLL knihovnu. Knihovna DLL je zodpovědná za dešifrování konečného payloadu, který je zpravidla uložen v souboru s názvem data.dat zašifrovaném pomocí RC4.
Proces dešifrování využívá pevně zakódovaný klíč, který se v různých verzích malwaru liší. Po dešifrování je payload načten do paměti k dalšímu spuštění.
Malware PlugX
Posledním payloadem je malware PlugX, který od roku 2008 využívá několik čínských aktérů. Funguje jako nástroj pro vzdálený přístup (RAT) a využívá modulární strukturu, která mu umožňuje umístění různých pluginů s odlišnými funkcemi. To útočníkům umožňuje v napadených systémech provádět řadu škodlivých činností, včetně krádeží souborů, snímání obrazovky, zaznamenávání stisků kláves nebo spouštění příkazů.
Aby se malware PlugX v napadeném systému dlouhodobě udržel, zkopíruje legitimní program a knihovnu DLL a ukládá je do skrytého adresáře, který si sám vytvoří. Tento škodlivý software dosahuje perzistence přidáním legitimního programu do registračního klíče Spustit (Run).
Některé z nalezených payloadů PlugX zapíší do dočasného adresáře %temp% klamnou návnadu v podobě souboru PDF a poté jej otevřou. Cesta k dokumentu je uložena v konfiguraci PlugX pod dokument_název. Za zmínku stojí, že jen několik vzorků v rámci této kampaně obsahovalo pole dokument_název; ve většině vzorků chybělo.
Po počátečním spuštění, které nastaví perzistenci a zkopíruje soubory malwaru do cílových adresářů, se malware spustí ještě jednou. Tentokrát obsahuje parametr, který napadenému zařízení přikáže komunikovat výhradně se serverem C2 (Command and Control). Jednou z pozoruhodných změn, kterou CPR zaznamenal, je častější používání metody šifrování RC4 ve srovnání s jednoduchým dešifrováním XOR v dřívějších kampaních.
Atribuce
Tato kampaň má značné podobnosti s aktivitami, které jiné organizace připisují buď skupině RedDelta, nebo Mustang Panda. V této souvislosti je nutno dodat, že techniky, taktiky a postupy (TTP) skupin RedDelta a Mustang Panda se do jisté míry překrývají a v některých případech se používají pro popis stejné aktivity:
- Infrastruktura – CPR během svého výzkumu na serveru C&C s IP adresou 62.233.57[.]136 našel odlišný certifikát. Avšak společný název v tomto certifikátu ukazuje na jinou IP adresu 45.134.83[.]29 – jde o indikátor dříve spojovaný s RedDeltou. Stejný certifikát byl zároveň zmíněn v jiném výzkumu o skupině Mustang Panda.
- Umístění – Mezi unikátní umístění/cesty uložení payloadu patří: C:\Users\Public\VirtualFile, C:\Users\Public\SamsungDriver a C:\Users\Public\SecurityScan.
- Zacílení – Viktimologie a návnadové taktiky použité v kampani SmugX vysoce korelují s taktikami popsanými ve zprávách o skupinách RedDelta a Mustang Panda od jiných kyberbezpečnostních organizací.
Závěr
Ačkoliv žádná z technik pozorovaných v této kampani není nová nebo jedinečná, kombinace různých taktik, stejně jako různorodost infekčních řetězců vedoucí k nízké míře detekce, umožnila aktérům zůstat poměrně dlouho bez povšimnutí. Malware PlugX se oproti předchozím výskytům také příliš nezměnil, ačkoliv jednou z pozorovaných nových funkcí je šifrování payloadu pomocí RC4, což ukazuje na odklon od dříve používaného šifrování XOR.
Zdroj: research.checkpoint.com