Az európai diplomaták után szimatolnak a kínai hackerek

Mesteri átverés és célzott támadás

A támadók alaposan kidolgozott adathalász (phishing) e-mailekkel keresték fel a célpontokat, amelyek a címzettek munkájához illeszkedő témákat – például az európai védelmi együttműködést vagy a határon átnyúló infrastruktúra-fejlesztést – dolgozták fel. Az e-mailek egy álcázott .lnk (Windows-parancsikon) fájlt tartalmaztak, amely megnyitása esetén a támadók titokban parancsokat futtathattak a számítógépen.

A parancsikonhoz egy olyan PDF is társult, amely egy valódi európai bizottsági ülés napirendjét mutatta, ezzel is hitelesebbé téve a csalit. Az akció szeptember és október között zajlott Belgiumban, Magyarországon, Olaszországban és Hollandiában dolgozó diplomaták, illetve a szerb kormány repülésügyi részlege ellen.

Régi trükk, új trójaival

A támadás három állomásból állt: egy lejárt tanúsítvánnyal ellátott Canon nyomtatósegédprogramot, egy ártalmas DLL-t és egy titkosított PlugX RAT (Remote Access Trojan – távoli hozzáférést biztosító trójai) csomagot másoltak a gépekre. A DLL side-loading technikával a támadók rávették a Windowst, hogy ne a valódi, hanem a kártékony DLL-t töltse be, így észrevétlenül aktiválták a PlugX-et.

A PlugX révén teljes hozzáférést kaptak a fertőzött géphez: parancsokat futtathattak, naplózhatták a billentyűleütéseket, fájlokat tölthettek fel vagy le, és további kártevőket juttathattak a rendszerbe. A Microsoft egyelőre nem közölte, mikor tervezi a sebezhetőség javítását, miközben a hibát legalább 11 más állami hátterű hackercsoport is kihasználja világszerte.

2025, adrienne, go.theregister.com alapján