Täuschung in der Tiefe: PRC-Ne... Notiz

Täuschung in der Tiefe: PRC-Nexus Spionagekampagne kapert Webverkehr, um Diplomaten ins Visier zu nehmen

Die Google-Gruppe für Bedrohungsanalysen hat eine komplexe Cyber-Spionage-Kampagne des PRC-nexus-Akteurs UNC6384 entdeckt, die südostasiatische Diplomaten ins Visier nimmt. Diese Kampagne verwendet einen Captive-Portal-Hijack, um Benutzer auf eine schädliche Website umzuleiten. Ein digital signierter Downloader namens STATICPLUGIN wird dann geliefert, um den Angriff zu initiieren. Das ultimative Ziel ist die In-Memory-Bereitstellung des SOGU.SEC-Backdoors, auch bekannt als PlugX. Die Angriffskette verwendet fortschrittliche soziale Ingenieurskunst, einschließlich gültiger Code-Signatur-Zertifikate und Adversary-in-the-Middle-Techniken. Google schützt aktuell Benutzer, indem sie betroffene Personen warnen und Sicherheitsmaßnahmen verstärken. Sie haben auch identifizierte schädliche Ressourcen zur Google-Safe-Browsing-Liste hinzugefügt. Die Malware-Payloads werden als Software- oder Plugin-Updates getarnt, um Zielgruppen zu täuschen. Die Kampagne nutzt einen Captive-Portal-Hijack, der sich als Adobe-Plugin-Update ausgibt, um die initiale Malware zu liefern. Die Landeseite ahmt legitime Software-Update-Seiten nach und verwendet HTTPS mit einem gültigen TLS-Zertifikat, um die Glaubwürdigkeit zu erhöhen. Google rät Benutzern, Enhanced Safe Browsing zu aktivieren, Geräte auf dem neuesten Stand zu halten und 2-Schritt-Verifizierung zu verwenden.
CdXz5zHNQW_TP1M7SZQDA.png