- Gần đây, một nhóm APT đã tiến hành một chiến dịch tấn công thông qua việc sử dụng kỹ thuật HTML Smuggling để xâm nhập vào Bộ Ngoại giao và Đại sứ quán tại châu Âu.
Chiến dịch này được gọi là SmugX, bắt đầu hoạt động kể từ tháng 12 năm 2022 và là một phần của xu hướng dịch chuyển mục tiêu tấn công sang châu Âu của các nhóm APT Trung Quốc. Mục tiêu của chiến dịch này là triển khai mã độc PlugX, một trojan truy cập từ xa, trên các hệ thống bị nhằm mục tiêu.
Chiến dịch sử dụng các phương thức cài cắm mã độc kiểu mới, nổi bật là kỹ thuật HTML Smuggling để cài đặt và triển khai các biến thể mới của mã độc PlugX. Đây là một mã độc quen thuộc của nhiều nhóm tấn công tại Trung Quốc. Mặc dù sử dụng payload tương tự như phiên bản cũ nhưng với cách thức lây nhiễm mã độc mới đã giúp chiến dịch không bị phát hiện cho tới thời gian gần đây.
Hiện nay, việc xác định danh tính của nhóm tấn công đằng sau chiến dịch SmugX vẫn chưa được làm rõ. Dựa trên các manh mối hiện có thì đối tượng tình nghi được các chuyên gia bảo mật hướng đến là nhóm Mustang Panda, có chung đặc điểm với các nhóm APT Earth Preta, RedDelta và Camaro Dragon. Tuy nhiên, vẫn chưa đủ chứng cứ để kết luận một cách chính xác.
Ảnh minh họa. Nguồn: Internet |
Kết quả phân tích mã độc trên VirusTotal còn cho thấy mã độc được thiết kế để nhằm vào các nhà ngoại giao và quan chức chính phủ tại Czechia, Hungary, Slovakia, Anh Quốc, Ukraine,Pháp và Thụy Điển.
Nhóm tấn công đã triển khai một tệp mồi có tên "China Tries to Block Prominent UyghurSpeaker at UN.docx". Khi tệp này sau khi được thực thi sẽ thu thập dữ liệu và gửi đến một máy chủ ngoài hệ thống thông qua một pixel theo dõi ẩn danh được nhúng vào thiết bị. Quá trình lây nhiễm đa giai đoạn sử dụng kỹ thuật DLL side-loading để giải mã và triển khai payload PlugX.
Mã độc PlugX còn có tên gọi khác là Korplug, một trojan kiểu module được phát hiện vào năm 2008, có chứa nhiều plugin với các chức năng riêng biệt cho phép đối tượng tấn công đánh cắp file, chụp màn hình, keylogging và thực thi câu lệnh.
Trong quá trình điều tra mã độc, nhóm tấn công điều khiển chiến dịch này đã gửi một lệnh batch script có tên “del_RoboTask Update.bat” từ máy chủ C&C với mục đích xóa đi các dấu vết của chiến dịch, cụ thể là xóa đi: file thực thi hợp lệ, DLL loader của PlugX và registry key được sử dụng trong việc thiết lập duy trì rồi cuối cùng là tự xóa đi mã độc.
PV