Fertőzött frissítés: Ártalmatlan, de annál veszélyesebb
A felkínált „frissítés” – valójában egy AdobePlugins.exe nevű fájl – első lépésben egy 45 MB-os MSI csomagot tölt le, majd egy CANONSTAGER nevű kártevőt telepít, amely később a SOGU.SEC nevű hátsó ajtót is elhelyezi a gépen. Ez a hátsó ajtó (backdoor) folyamatos kapcsolatot biztosít egy távoli vezérlőszerverrel. A megtévesztő fájlokat teljesen érvényes, a Chengdu Nuoxin Times Technology Co. Ltd. által kibocsátott GlobalSign-tanúsítvány hitelesíti. A Google eddig 25 hasonló, ezzel a tanúsítvánnyal aláírt kártevőt azonosított, amelyeket különböző kínai érdekeltségű hekkercsoportok használnak.
Diplomaták és kormányzati szervek célkeresztben
A támadássorozatot a hírhedt UNC6384 csoporthoz, illetve ismertebb álnéven Mustang Panda / Selyem Tajték (Silk Typhoon) / Hafnium néven is emlegetett hackercsoporthoz kötik. A hadművelet márciusban indult, és leginkább délkelet-ázsiai diplomatákra, illetve globális kormányzati szervezetekre koncentrált. A támadás komolyságát jelzi, hogy a Google automatikusan értesítette az érintetteket, kiemelve, hogy a kínai kormányzati háttér valószínű.
Mit tehetsz ellene?
A Google minden felhasználónak javasolja a Chrome továbbfejlesztett biztonsági beállításainak használatát, a rendszeres frissítéseket, valamint a kétlépcsős azonosítást. Emellett minden rendelkezésre álló technikai információt megosztott saját SecOps platformján, hogy a vállalatok fel tudjanak készülni a támadás kivédésére.
