SmugXからPlugX

ほぼこもセキュリティニュース By Terilogy Worx

SmugXと呼ばれる新しい攻撃キャンペーンが確認されています。
これまでよりも一層注意が必要な内容になっています。

SmugXでは、HTML Smugglingという手法が使用されます。
HTML Smugglingはどういう動きをするのでしょうか。

「ユーザがURLリンクをクリックすることをシミュレート」です。
これはまずいです。
被害者としては、ドキュメントを閲覧しただけの気持ちですが、攻撃としては活動が開始されてしまっています。
SmugXは、こういった手法が組み込まれたマルウェアです。

現在のSmugXの攻撃キャンペーンでは、配布経路が2種確認されています。

  • SmugXの経路1
    HTML文書→ZIPファイルをダウンロード→ZIPのなかのPowerShellを実行→LNKファイルからZIPを作成

     

  • SmugXの経路2
    HTML文書→JavaScriptをダウンロード→JavaScriptを実行→MSIファイルをダウンロード

     

  • SmugXの続きの処理
    経路1でも経路2でも中身は同じです。
    アプリケーションのexeファイルとそれが読み込むDLL、そしてマルウェアの固められたバイナリファイルです。
    exeファイルはそれぞれの経路の流れのまま実行されます。
    実行されるとDLLが読み込まれますが、DLLサイドローディングによって本来想定された以外の仕事を実行します。
    本来想定された以外の仕事は、マルウェアの固められたバイナリファイルの処理です。
    マルウェアの固められたバイナリファイルはRC4で暗号化されたPlugXです。
    この段階でPlugXが設置されます。

     

  • PlugXの仕事
    PlugXはリモートアクセストロイです。
    モジュール型の構造となっていて多くのプラグインを持っています。
    ファイルの盗難、画面キャプチャ、キーストロークのログ記録、コマンドの実行など、侵害されたシステム上でさまざまな悪意のあるアクティビティを実行できますし、永続性も確保します。
    情報を集める機能だけでなく、消滅機能も持っています。
    C2から消滅を指示されると、設置した活動に必要な各種機構を消去します。

巧妙化が危険なレベルになっています。
従来の攻撃であれば、たとえば悪意あるファイルを開いてなにかのボタンをクリックしてしまうと攻撃が進むといったものが良くあるスタイルでした。
でもこの攻撃では、悪意あるファイルを開いた時点ですでに攻撃は開始されています。
もちろん悪意あるファイルは受信者が開きたくなる内容が書かれていると思える工夫が凝らされています。

この攻撃では脆弱なアプリも使用されていますが、そのアプリは攻撃の中で持ち込まれますので、手元のPCのなかが完全に最新の状態であっても攻撃は回避できません。
まさに、ドキュメントを開くと終わり、です。

対策として意識できることは少なそうです。
出所の不明なファイルは入手しない、開かない、です。
といっても、出所も巧妙に仕掛けられて怪しくないように見えるのだと思います。
厳しい攻撃です。

参考記事(外部リンク):CHINESE THREAT ACTORS TARGETING EUROPE IN SMUGX CAMPAIGN
research.checkpoint.com/2023/chinese-threat-actors-targeting-europe-in-smugx-campaign/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。