Nhóm APT sử dụng PlugX xâm nhập vào các cơ quan, tổ chức tại châu Âu

0
0

- Gần đây, một nhóm APT đã tiến hành một chiến dịch tấn công thông qua việc sử dụng kỹ thuật HTML Smuggling để xâm nhập vào Bộ Ngoại giao và Đại sứ quán tại châu Âu.

Chiến dịch này được gọi là SmugX, bắt đầu hoạt động kể từ tháng 12 năm 2022 và là một phần của xu hướng dịch chuyển mục tiêu tấn công sang châu Âu của các nhóm APT Trung Quốc. Mục tiêu của chiến dịch này là triển khai mã độc PlugX, một trojan truy cập từ xa, trên các hệ thống bị nhằm mục tiêu.

Chiến dịch sử dụng các phương thức cài cắm mã độc kiểu mới, nổi bật là kỹ thuật HTML Smuggling để cài đặt và triển khai các biến thể mới của mã độc PlugX. Đây là một mã độc quen thuộc của nhiều nhóm tấn công tại Trung Quốc. Mặc dù sử dụng payload tương tự như phiên bản cũ nhưng với cách thức lây nhiễm mã độc mới đã giúp chiến dịch không bị phát hiện cho tới thời gian gần đây.

Hiện nay, việc xác định danh tính của nhóm tấn công đằng sau chiến dịch SmugX vẫn chưa được làm rõ. Dựa trên các manh mối hiện có thì đối tượng tình nghi được các chuyên gia bảo mật hướng đến là nhóm Mustang Panda, có chung đặc điểm với các nhóm APT Earth Preta, RedDelta và Camaro Dragon. Tuy nhiên, vẫn chưa đủ chứng cứ để kết luận một cách chính xác.

Ảnh minh họa. Nguồn: Internet
Ảnh minh họa. Nguồn: Internet

Kết quả phân tích mã độc trên VirusTotal còn cho thấy mã độc được thiết kế để nhằm vào các nhà ngoại giao và quan chức chính phủ tại Czechia, Hungary, Slovakia, Anh Quốc, Ukraine,Pháp và Thụy Điển.

Nhóm tấn công đã triển khai một tệp mồi có tên "China Tries to Block Prominent UyghurSpeaker at UN.docx". Khi tệp này sau khi được thực thi sẽ thu thập dữ liệu và gửi đến một máy chủ ngoài hệ thống thông qua một pixel theo dõi ẩn danh được nhúng vào thiết bị. Quá trình lây nhiễm đa giai đoạn sử dụng kỹ thuật DLL side-loading để giải mã và triển khai payload PlugX.

Mã độc PlugX còn có tên gọi khác là Korplug, một trojan kiểu module được phát hiện vào năm 2008, có chứa nhiều plugin với các chức năng riêng biệt cho phép đối tượng tấn công đánh cắp file, chụp màn hình, keylogging và thực thi câu lệnh.

Trong quá trình điều tra mã độc, nhóm tấn công điều khiển chiến dịch này đã gửi một lệnh batch script có tên “del_RoboTask Update.bat” từ máy chủ C&C với mục đích xóa đi các dấu vết của chiến dịch, cụ thể là xóa đi: file thực thi hợp lệ, DLL loader của PlugX và registry key được sử dụng trong việc thiết lập duy trì rồi cuối cùng là tự xóa đi mã độc.

PV


Ý kiến bạn đọc


Lời cảm ơn của gia đình Tổng Bí thư Nguyễn Phú Trọng

Chiều 26/7, ông Nguyễn Trọng Trường, đại diện gia đình Tổng Bí thư Nguyễn Phú Trọng đọc Lời cảm ơn của gia đình Tổng Bí thư tại Lễ Truy điệu.

Bức tâm thư của Phu nhân Tổng Bí thư Lào gửi Phu nhân Tổng Bí thư

(VnMedia) - VnMedia xin đăng tải toàn văn bức tâm thư của Phu nhân Tổng Bí thư Lào Naly Sisoulith gửi Phu nhân Tổng Bí thư Nguyễn Phú Trọng, Ngô Thị Mận.

Nhớ về một người Cộng sản chân chính

(VnMedia)- Mỗi khi nghĩ về Tổng Bí thư Nguyễn Phú Trọng là trong tôi hiện lên hình ảnh một người Cộng sản chân chính. Và, lúc này, tôi lại nhớ đến câu chuyện mẹ tôi vẫn kể trong những năm tháng bà còn sống về cha tôi - một người Cộng sản...

Cảnh báo chiêu trò lừa đảo tuyển người mẫu, cầu thủ nhí trên không gian mạng

(VnMedia) - Bộ Công an vừa phát đi cảnh báo về chiêu trò lừa đảo tuyển mẫu nhí, cầu thủ nhí, người đại diện thương hiệu nhằm chiếm đoạt tài sản qua không gian mạng.

Giá vàng đảo chiều tăng mạnh

(VnMedia) - Chốt phiên giao dịch rạng sáng nay (24/7), giá vàng giao ngay tại thị trường New York đã đảo chiều tăng mạnh hơn 13 USD/ounce. Trong nước, chiều qua, giá vàng miếng SJC vẫn duy trì ở mốc gần 80 triệu đồng/lượng ở chiều bán ra.