PlugX恶意软件的欧洲外交机构攻击活动

关键要点

最近发现的PlugX恶意软件攻击活动涉及中国活动分子针对欧洲外交机构的广泛战略调整。该活动自2022年12月以来持续进行，目标包括多个欧洲国家的使馆和外交部。使用HTML走私等新交付方法，使该恶意软件难以被检测。

研究人员表示，Check Point ResearchCPR过去两个月一直在追踪PlugX活动，认为这是与中国有关的威胁行为者对欧洲目标的转移。

CPR的研究人员在一份7月3日的报告中指出：“这一特定活动自至少2022年12月起活跃，可能是RedDelta以及某种程度上与Mustang Panda相关的之前报告的活动的直接延续。”

RedDelta和Mustang Panda是两个由国家支持的高级持续威胁APT组织，均以间谍活动为重点。

CPR在报告中指出，最近发现的攻击活动采用了新的交付方法，尤其是通过HTML走私技术，来部署新变种的PlugX，这种远程访问工具RAT源于中国。该活动被追踪为SmugX。

研究人员表示：“尽管有效载荷本身与旧版PlugX相似，其交付方法导致检测率较低，最近这一点帮助该活动保持了低调。”

什么是HTML走私？

HTML走私是一种将恶意文件嵌入到HTML文档中的技术，可以避开基于网络的检测方法。虽然HTML走私并不新鲜，但由于微软关闭了通过Word文档的宏等流行方式来偷偷将恶意软件安装到系统的新方法，攻击者们越来越依赖它。

Trustwave的研究人员在一篇博客中写道：“HTML走私利用HTML5属性，可以通过将二进制文件存储在JavaScript代码中的不可变数据块中，来离线工作。”

“当通过网页浏览器打开时，数据块或嵌入的有效载荷会解码为文件对象。攻击者利用HTML的灵活性结合社会工程学，诱使用户保存和打开恶意有效载荷，”他们写道。

白鲸加速器下载

欧洲政府实体如何受到攻击

在SmugX活动中，已知该活动针对的是英国、法国、瑞典、乌克兰、捷克、匈牙利和斯洛伐克的外交机构，诱饵文档通常包含与外交相关的内容。例如，包括来自塞尔维亚驻布达佩斯大使馆的信函和匈牙利外交部发出的外交会议邀请。

威胁行为者通过HTML走私来促进将JavaScript或ZIP文件下载到被攻陷的系统。当威胁行为者使用ZIP压缩文件时，它包含一个恶意LNK文件，该文件运行PowerShell；而使用JavaScript文件时，则从攻击者的服务器下载并执行MSI文件。

CPR研究人员写道：“如过往案例所示，PlugX恶意软件使用DLL侧加载技术。”他们进一步解释道：“当lnk或MSI文件释放必要的文件后，它会触发一个合法程序的执行，而该程序又会载入恶意DLL。”

该DLL随后解密最终的有效载荷PlugX恶意软件，可用于在被攻陷的系统上执行一系列恶意活动，包括文件外泄、屏幕捕捉、按键记录和命令执行。

为确保持久性，在感染过程中还下载了一个被劫持的合法可执行文件。PlugX有效载荷会复制合法程序和DLL，并将其存储在新创建的隐藏目录中。持久性是通过将合法程序添加到运行注册表键来实现的。

与恶意USB活动的相似之处

CPR研究人员表示：“结合Check Point Research