SmugXからPlugX
SmugXと呼ばれる新しい攻撃キャンペーンが確認されています。
これまでよりも一層注意が必要な内容になっています。
SmugXでは、HTML Smugglingという手法が使用されます。
HTML Smugglingはどういう動きをするのでしょうか。
- 加工されたHTMLドキュメントを入手させる
- HTMLドキュメントを被害者が開く
- コード内に埋め込まれたペイロードがデコードされて JavaScript BLOBに保存され、MIMEタイプを調整して保持する
- HTMLのなかに静的に 要素を含めておく代わりに、JavaScriptコードによってJavaScript
BLOBから動的にURLオブジェクトを作成する - コード内の情報に、目的のファイル名が設定しておく
- コードはクリックアクションを呼び出し、ユーザがURLリンクをクリックすることをシミュレートし、ファイルのダウンロードを開始します。
- ダウンロードしたものを目的のファイル名で保存する
「ユーザがURLリンクをクリックすることをシミュレート」です。
これはまずいです。
被害者としては、ドキュメントを閲覧しただけの気持ちですが、攻撃としては活動が開始されてしまっています。
SmugXは、こういった手法が組み込まれたマルウェアです。
現在のSmugXの攻撃キャンペーンでは、配布経路が2種確認されています。
- SmugXの経路1
HTML文書→ZIPファイルをダウンロード→ZIPのなかのPowerShellを実行→LNKファイルからZIPを作成 - SmugXの経路2
HTML文書→JavaScriptをダウンロード→JavaScriptを実行→MSIファイルをダウンロード - SmugXの続きの処理
経路1でも経路2でも中身は同じです。
アプリケーションのexeファイルとそれが読み込むDLL、そしてマルウェアの固められたバイナリファイルです。
exeファイルはそれぞれの経路の流れのまま実行されます。
実行されるとDLLが読み込まれますが、DLLサイドローディングによって本来想定された以外の仕事を実行します。
本来想定された以外の仕事は、マルウェアの固められたバイナリファイルの処理です。
マルウェアの固められたバイナリファイルはRC4で暗号化されたPlugXです。
この段階でPlugXが設置されます。 - PlugXの仕事
PlugXはリモートアクセストロイです。
モジュール型の構造となっていて多くのプラグインを持っています。
ファイルの盗難、画面キャプチャ、キーストロークのログ記録、コマンドの実行など、侵害されたシステム上でさまざまな悪意のあるアクティビティを実行できますし、永続性も確保します。
情報を集める機能だけでなく、消滅機能も持っています。
C2から消滅を指示されると、設置した活動に必要な各種機構を消去します。
巧妙化が危険なレベルになっています。
従来の攻撃であれば、たとえば悪意あるファイルを開いてなにかのボタンをクリックしてしまうと攻撃が進むといったものが良くあるスタイルでした。
でもこの攻撃では、悪意あるファイルを開いた時点ですでに攻撃は開始されています。
もちろん悪意あるファイルは受信者が開きたくなる内容が書かれていると思える工夫が凝らされています。
この攻撃では脆弱なアプリも使用されていますが、そのアプリは攻撃の中で持ち込まれますので、手元のPCのなかが完全に最新の状態であっても攻撃は回避できません。
まさに、ドキュメントを開くと終わり、です。
対策として意識できることは少なそうです。
出所の不明なファイルは入手しない、開かない、です。
といっても、出所も巧妙に仕掛けられて怪しくないように見えるのだと思います。
厳しい攻撃です。
参考記事(外部リンク):CHINESE THREAT ACTORS TARGETING EUROPE IN SMUGX CAMPAIGN
research.checkpoint.com/2023/chinese-threat-actors-targeting-europe-in-smugx-campaign/
