Check Point Software Technologiesは7月3日(米国時間)、「Chinese Threat Actors Targeting Europe in SmugX Campaign - Check Point Research」において、中国の脅威者が欧州の政府機関を標的としたサイバー攻撃を展開していると伝えた。攻撃者はHTMLスマグリングを実行し、侵害したシステムに遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)であるPlugXを配置していることが明らかとなった。

  • Chinese Threat Actors Targeting Europe in SmugX Campaign - Check Point Research

    Chinese Threat Actors Targeting Europe in SmugX Campaign - Check Point Research

「SmugX」と呼ばれる、サイバー攻撃のキャンペーンが特定された。このキャンペーンは中国の持続的標的型攻撃(APT: Advanced Persistent Threat)アクタであるRedDeltaやMustang Pandaの活動と類似しているという。証拠は不十分だが、同じく中国支援の脅威グループであるCamaro Dragonによる欧州の外務機関をターゲットにしたキャンペーンと相関関係にあると分析されている(参考「中国支援の脅威グループ、ルータにマルウェアを感染させてEU機関を攻撃 | TECH+(テックプラス)」)

  • SmugX campaign targets and lures. - Check Point Research

    SmugX campaign targets and lures. - Check Point Research

  • Overview of the PlugX infection chains. - Check Point Research

    Overview of the PlugX infection chains. - Check Point Research

SmugXキャンペーンでは悪意のあるHTML文書がルアーとして使われ、HTMLスマグリングが実行されている。ルアーのテーマは欧州の内政や外交政策に重点が置かれており、主に東欧の政府省庁をターゲットにしていることが確認されている。

感染チェーンは主に2つあり、どちらも第2段階のペイロードをダウンロードフォルダに保存するHTMLファイルから始まる。1つのチェーンは悪意のあるLNKファイルを含むZIPファイルを使用し、もう1つのチェーンはJavaScriptを利用してリモートサーバから悪意のあるMSIファイルをダウンロードする。どちらの感染チェーンであっても、最終的にPlugXが実行されてしまう。

SmugXキャンペーンで使用された攻撃手法は新規性がなく、ユニークなものではないと判断されている。しかしながら、感染チェーンが多様化したことで検知率が低下し、監視を回避できたと考えられている。また中国の脅威者がヨーロッパに焦点を移していると推測されており、今後の動向が注目されている。