Mesteri átverés és célzott támadás
A támadók alaposan kidolgozott adathalász (phishing) e-mailekkel keresték fel a célpontokat, amelyek a címzettek munkájához illeszkedő témákat – például az európai védelmi együttműködést vagy a határon átnyúló infrastruktúra-fejlesztést – dolgozták fel. Az e-mailek egy álcázott .lnk (Windows-parancsikon) fájlt tartalmaztak, amely megnyitása esetén a támadók titokban parancsokat futtathattak a számítógépen.
A parancsikonhoz egy olyan PDF is társult, amely egy valódi európai bizottsági ülés napirendjét mutatta, ezzel is hitelesebbé téve a csalit. Az akció szeptember és október között zajlott Belgiumban, Magyarországon, Olaszországban és Hollandiában dolgozó diplomaták, illetve a szerb kormány repülésügyi részlege ellen.
Régi trükk, új trójaival
A támadás három állomásból állt: egy lejárt tanúsítvánnyal ellátott Canon nyomtatósegédprogramot, egy ártalmas DLL-t és egy titkosított PlugX RAT (Remote Access Trojan – távoli hozzáférést biztosító trójai) csomagot másoltak a gépekre. A DLL side-loading technikával a támadók rávették a Windowst, hogy ne a valódi, hanem a kártékony DLL-t töltse be, így észrevétlenül aktiválták a PlugX-et.
A PlugX révén teljes hozzáférést kaptak a fertőzött géphez: parancsokat futtathattak, naplózhatták a billentyűleütéseket, fájlokat tölthettek fel vagy le, és további kártevőket juttathattak a rendszerbe. A Microsoft egyelőre nem közölte, mikor tervezi a sebezhetőség javítását, miközben a hibát legalább 11 más állami hátterű hackercsoport is kihasználja világszerte.
