Hakerska grupa povezana s Kinom UNC6384 koristila je kombinaciju socijalnog inženjeringa, potpisanog malvera i „adversary-in-the-middle“ napada da bi izbjegla detekciju, saopštili su istraživači iz Google Threat Intelligence Group (GTIG).
Kampanja, koja se pripisuje UNC6384 i vjeruje se da je povezana sa Mustang Panda grupom (poznatom i kao Basin, Bronze President, Earth Preta, Red Delta i Temp.Hex), identifikovana je u martu 2025. godine, kada su maliciozni payloadi maskirani kao ažuriranja softvera ili pluginova.
U napadima je korišćen captive portal preusmjeravanje (mrežna konfiguracija koja korisnika najprije vodi na određenu web stranicu, poput login stranice, prije nego što omogući pristup internetu) radi isporuke StaticPlugin malvera, koji dalje u memoriji pokreće loader za PlugX backdoor.
“Ovaj višefazni lanac napada oslanja se na napredni socijalni inženjering, uključujući validne sertifikate za potpisivanje koda, adversary-in-the-middle (AitM) napad i indirektne tehnike izvršavanja radi izbjegavanja detekcije”, navodi GTIG.
Napadi počinju kada pregledač žrtve provjeri da li se nalazi iza captive portala, koristeći domen poput “gstatic.com” koji je hardkodiran u Chrome-u.
Prema podacima Google-a, UNC6384 koristi kompromitovane edge uređaje na mrežama meta za izvođenje AitM napada i preusmjeravanje žrtava na lažne odredišne stranice pod njihovom kontrolom, odakle se isporučuje malver.
Nakon toga se koriste različite tehnike socijalnog inženjeringa kako bi se žrtva uvjerila da je potrebno instalirati ažuriranje softvera, pa je preuzimala downloader maskiran kao Adobe plugin update.
Lažni instalater pokreće višefazni lanac isporuke dizajniran da izbjegne detekciju i održi prikrivenost, a na kraju se izvršava backdoor.
StaticPlugin downloader potpisan je digitalnim sertifikatom koji je GlobalSign izdao za Chengdu Nuoxin Times Technology Co., Ltd., što mu je pomoglo da zaobiđe zaštite na endpointima.
Prema GTIG-u, najmanje 25 drugih malvera potpisano je sertifikatima izdatim za ovu kompaniju i korišćeni su u napadima različitih kineskih APT grupa. Dvije od tih kampanja pokazuju sličnosti sa nedavno otkrivenim napadima UNC6384.
StaticPlugin u memoriji pokreće CanonStager loader kroz DLL side-loading, koji zatim zloupotrebljava legitimne Windows funkcije da bi izvršio finalni payload – PlugX varijantu, koju UNC6384 redovno koristi u napadima.
Ovaj backdoor prikuplja sistemske informacije, omogućava upload i download fajlova sa komandno-kontrolnog (C&C) servera, i pokreće udaljenu komandnu školjku.
“Korišćenje naprednih tehnika kao što su AitM u kombinaciji sa validnim sertifikatima i slojevitim socijalnim inženjeringom pokazuje sposobnosti ovog hakera”, naglasio je GTIG, dodajući da kineske APT grupe sve više ulažu u taktike zaobilaženja detekcije.
Izvor: SecurityWeek
