Operação APT sediada na China visa entidades europeias

A campanha utiliza o HTML Smuggling, uma técnica em que os atacantes escondem cargas maliciosas em documentos HTML, por isso, foi denominada SmugX

Compartilhar:

Nos últimos dois meses, a Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software Technologies Ltd., acompanha atividade de um agente de ameaças sediado na China que visa entidades de política externa e interna, bem como embaixadas, na Europa.

Combinado com a atividade de outros grupos sediados na China, anteriormente relatado pela Check Point Research, isto representa uma tendência maior no ecossistema chinês, apontando para uma mudança de alvo em direção a entidades europeias, com enfoque na sua política externa. Nesta campanha, além do Reino Unido, a maioria dos países visados são do Leste Europeu, como a República Tcheca, a Eslováquia e a Hungria, e, de acordo com a avaliação da CPR, o objetivo da campanha é obter informações sensíveis sobre as políticas externas desses países.

A atividade descrita neste relatório utiliza a técnica de intrusão de contrabando (Smuggling) de HTML para atingir entidades políticas externas na Europa, concentrando-se na Europa Oriental. O contrabando de HTML é uma técnica na qual os atacantes ocultam cargas maliciosas dentro de documentos HTML.

Esta campanha específica está ativa desde, pelo menos, dezembro de 2022, e é provavelmente uma continuação direta de uma campanha anteriormente comunicada atribuída à RedDelta (e, em certa medida, ao grupo Mustang Panda).

A campanha utiliza novos métodos de entrega para implementar (principalmente – contrabando de HTML) uma nova variante do PlugX, normalmente associada a uma grande variedade de atacantes chineses. Embora a carga em si seja semelhante à encontrada nas variantes mais antigas do PlugX, os seus métodos de entrega resultam em baixas taxas de detecção e evasões “bem-sucedidas”, o que, até recentemente, ajudou a campanha a passar despercebida.

A forma como o contrabando de HTML é utilizado na campanha de e-mail SmugX resulta no download de um arquivo JavaScript ou ZIP. Isto leva a uma longa cadeia de infecção que resulta na infecção PlugX da vítima.

Atração e Alvo

Os temas usados para atrair os alvos identificados pela equipe da CPR estão fortemente centrados nas políticas internas e externas europeias – entidades governamentais – e foram utilizados para visar, sobretudo, entidades governamentais da Europa Central e Oriental. No entanto, outros países da Europa Ocidental também foram referidos. 

A maioria dos documentos continha conteúdo de caráter diplomático. Em mais de um caso, o conteúdo estava diretamente relacionado com a China e os direitos humanos naquele país.

Além disso, os próprios nomes dos arquivos armazenados sugerem fortemente que as vítimas visadas eram diplomatas e funcionários públicos dessas entidades governamentais. Eis alguns exemplos dos nomes identificados pela CPR:

– “Draft Prague Process Action”

– “2262_3_PrepCom_Proposal_next_meeting_26_April”

– “Comments FRANCE – EU-CELAC Summit – May 4”

– “202305 Indicative Planning RELEX”

– “China prende dois advogados de direitos humanos por subversão”

Nesta pesquisa, a equipe da CPR analisou uma campanha recente que destaca a mudança da APT chinesa para o ataque persistente a entidades governamentais europeias. Os pesquisadores identificaram várias cadeias de infecção que utilizam a técnica de contrabando de HTML que leva à implementação da carga útil do PlugX.

A campanha, denominada “SmugX”, faz parte de uma tendência mais ampla que a CPR está analisando de agentes de ameaças chineses mudando o seu foco para entidades europeias, em particular as governamentais.


Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Threat Intel detecta nova técnica de ransomware executado pelo navegador

Especialistas mostram que modelo de IA conectou recursos legítimos do navegador para construir uma cadeia prática de ataque sem exploração...
Security Report | Overview

Project Lightwell: Players de TI formam parceria contra vulnerabilidades de software

Parceria une descoberta de falhas, aplicação de patches virtuais e remediação automatizada para neutralizar ameaças Cibernéticas na velocidade da inteligência...
Security Report | Overview

ANPD abre processo sancionador contra instituto de saúde por vazamento de dados

Ataque cibernético de ransomware expôs dados sensíveis de saúde de usuários de unidades públicas geridas pelo Instituto Saúde e Cidadania....
Security Report | Overview

Defesa Civil: MFA se torna demanda urgente, alerta inteligência de ameaças

Especialistas alertam para os riscos do uso de credenciais legítimas comprometidas em sistemas críticos e destacam a urgência de aplicar...