Egy Kínához köthető hackercsoport egy javítatlan Windows-hibával kémkedik európai diplomaták után. Biztonsági cégek arról számoltak be, hogy az UNC6384 csoport az elmúlt hónapokban magyarországi, belgiumi és szerbiai tisztviselőket célzott meg.
A kampány a Windows parancsikonfájlok nulladik napi hibáját (CVE-2025-9491) használja ki a PlugX kémszoftverek telepítéséhez.
Ez az eszköz a támadóknak mély hozzáférést biztosít a kommunikációs érzékeny fájlokhoz, és felügyeli a titkos titkosításokat. küldetés. Aggodalomra ad okot, hogy a Microsoft március óta tud a hibáról, de még nem adott ki biztonsági javítást, így a rendszerek széles skálája veszélyben van.
Anwcomed2. Fegyver
Hónapok óta a Windows kritikus hibája átjárót biztosít az államilag támogatott hackerek számára. A hivatalosan CVE-2025-9491 néven nyomon követett sebezhetőség egy olyan UI félrevezetési hiba, amely az operációs rendszer által feldolgozott.LNK parancsikonok
ttliccker parancsikon fájljait. tetszőleges kódot hajt végre, amikor a felhasználó egyszerűen megtekinti azokat a File Explorerben, így ez egy hatékony eszköz a kezdeti hozzáféréshez, kattintás nélkül.
A Microsoftot 2025 elején értesítették a hibáról. nem felel meg az azonnali szervizelés követelményének”, így a sérülékenység javítás nélkül marad.
Ennek a döntésnek jelentős következményei voltak. A biztonsági kutatók szerint a hiba nem egy niche-kihasználás. Legalább 11 különálló, államilag támogatott hackercsoport 2025 márciusa óta használja aktívan különféle rosszindulatú programok telepítésére, így széles körben visszaélt eszközzé vált az állami szintű kiberarzenálban.
UNC6384: Kínai Állami Támogatott Kémkedési Laboratóriumi kampány, az Arcaccur kutatói Sehtic3> href=”https://arcticwolf.com/resources/blog/unc6384-weaponizes-zdi-can-25373-vulnerability-to-deploy-plugx/”target=”_blank”>részletezett egy kifinomult kampányt, pontosan ezt a hibát kihasználva, egy kínai kötődésű csoportnak, az UNC6 fenyegetettségének
3p4 néven is ismert. Mustang Panda néven követték, és korábban diplomáciai és kormányzati szerveket céloz meg. Történelmileg a középpontjában Délkelet-Ázsia állt, így ez az új kampány jelentősen kibővítette földrajzi célzását.
A cég jelentése kijelenti: „Az Arctic Wolf Labs nagy magabiztossággal értékeli, hogy ez a kampány az UNC6384-nek tulajdonítható, amely kínai kapcsolatban áll a kiberkémkedéssel fenyegető európai testületekkel, valamint a kampányban részt vevő diplomatikus és európai célpontok között.”
megerősített tevékenységet figyeltek meg magyarországi, belgiumi, szerbiai, olaszországi és hollandiai entitásokkal szemben.
A PlugX kártevő, más néven Sogu vagy Korplug használata erősen jelzi a csoport eredetét. A StrikeReady Labs szerint „Az infosec alapvető igazsága, amelyet gyakran figyelmen kívül hagynak, az, hogy csak a CN-fenyegetés szereplői használják ki a sogu/plugx/korplug eszközkészletet az élő behatolásokhoz, a ritka kivételek kivételével a vörös csapatok/kutatók, akik a VT építőivel játszanak.”
Hogyan működik az S AttackE-mail: From/h3>
Az adathalász e-mailek kezdeményezik a támadást, amelyet közvetlenül a diplomáciai személyzetnek küldenek. Ezek az üzenetek rosszindulatú.LNK-fájlokat tartalmaznak, legitim dokumentumoknak álcázva, olyan témákat használva, mint „Agenda_Meeting 26 Sep Brussels” vagy „JATEC workshop a háborús védelmi beszerzésekről”. A csalikat gondosan választják ki a célpont szempontjából, ami növeli a siker valószínűségét.
Miután az áldozat megnyitja a rosszindulatú fájlt, parancsok sorozatát hajtják végre rejtetten. Egy homályos PowerShell-szkript kibontja a támadási összetevőket tartalmazó tar archívumot.
Ebben az archívumban három kritikus fájl található: egy legitim, digitálisan aláírt Canon nyomtató-segédprogram (cnmpaui.exe), egy rosszindulatú betöltő (cnmpaui.dll) és egy titkosított hasznos adat (cnmplog.dat). Ezt követően egy DLL oldalbetöltési technikát alkalmaznak, amely segít a rosszindulatú programnak elkerülni az észlelést azáltal, hogy ráveszi a jogos Canon alkalmazást, hogy betöltse a rosszindulatú DLL-t.
Végül a támadás a erőteljes moduláris modult (Access X Remote)
a kínai színészek által több mint egy évtizede használt kémeszköz. Állandó hozzáférést létesít, lehetővé téve a támadók számára, hogy kiszűrjék az érzékeny dokumentumokat, figyeljék a kommunikációt, naplózzák a billentyűleütéseket és további parancsokat hajtsanak végre.
Az aktív fejlesztés bizonyítéka a kártevő betöltőjében, amelyet az Arctic Wolf CanonStager néven követ.
A kutatók megfigyelték, hogy ez az összetevő körülbelül 7200 KB és október 40 KB adatfolyamra zsugorodott. gyors finomítást jelezve az észlelés elkerülése érdekében. Az új sebezhetőség gyors integrációja kiemeli a csoport agilitását.
Az Arctic Wolf Labs megjegyezte: „Ez a kampány demonstrálja az UNC6384 képességét a sebezhetőség gyors elfogadására a nyilvánosságra hozatalt követő hat hónapon belül, valamint a fejlett társadalmi tervezést, amely a diplomáciai naptárak és események témáinak részletes ismeretét hasznosítja…”
Mivel nem érhető el hivatalos javítás a Microsofttól, a szervezeteknek maguknak kell megvalósítaniuk védekezésüket. A biztonsági szakértők elsődleges javaslata, hogy korlátozzák vagy blokkolják a nem megbízható vagy külső forrásokból származó Windows.LNK fájlok használatát. Egy ilyen házirend megakadályozhatja a rosszindulatú kód kezdeti végrehajtását.
Továbbá a hálózat védelmezőinek azt tanácsolják, hogy blokkolják a biztonsági jelentésekben azonosított parancs-és vezérlési (C2) infrastruktúrához való kapcsolódást, beleértve az olyan tartományokat, mint a racineupci[.]org és a naturadeco[.]net.
Proaktív fenyegetésvadászat a cmpa-exe futtatásához – a támadáshoz használt nem szabványos fájlok. felhasználói profil-könyvtárak – a meglévő kompromisszumok azonosításához is kritikus fontosságúak. A kampány rávilágít azokra a kockázatokra, amelyeket a kijavítatlan sérülékenységek és a nemzetállami kiberfenyegetések tartós, folyamatosan változó jellege jelent.
Mivel nem érhető el hivatalos javítás a Microsofttól, a szervezeteknek maguknak kell megvalósítaniuk védekezésüket. A biztonsági szakértők elsődleges javaslata, hogy korlátozzák vagy blokkolják a nem megbízható vagy külső forrásokból származó Windows.LNK fájlok használatát. Egy ilyen házirend megakadályozhatja a rosszindulatú kód kezdeti végrehajtását.
Továbbá a hálózat védelmezőinek azt tanácsolják, hogy blokkolják a biztonsági jelentésekben azonosított parancs-és vezérlési (C2) infrastruktúrához való kapcsolódást, beleértve az olyan tartományokat, mint a racineupci[.]org és a naturadeco[.]net.
Proaktív fenyegetésvadászat a cmpa-exe futtatásához – a támadáshoz használt nem szabványos fájlok. felhasználói profil-könyvtárak – a meglévő kompromisszumok azonosításához is kritikus fontosságúak. A kampány rávilágít azokra a kockázatokra, amelyeket a kijavítatlan sérülékenységek és a nemzetállami kiberfenyegetések tartós, folyamatosan változó jellege jelent.
