Китайские хакеры атакуют европейские посольства с помощью HTML smuggling

Хакеры из Китая взяли на вооружение новую технику атаки посольств и дипломатических миссий европейских стран. Согласно результатам исследования Check Point, она активно используется уже около двух месяцев.

Речь идет об HTML Smuggling, то есть сокрытии или контрабанде HTML, когда вредоносное содержимое скрывается внутри HTML-документа. Новую технику называют усовершенствованным вариантом PlugX. Ее полезная нагрузка в целом соответствует PlugX, а новые методы доставки усложняют обнаружение. В результате хакерские кампании долгое время оставались незамеченными. Цепочка заражения включает архивы или файлы  MSI.

Исследователи связывают деятельность по атаке на европейские посольства при помощи HTML Smuggling с группировками RedDelta и Mustang Panda. Обе известны своим взаимодействием с Camaro Dragon, однако прямых доказательств использования последней новой техники нет.

Хакеры сконцентрировали свои усилия преимущественно на дипмиссиях стран Восточной Европы. В числе атакованных Украина, Словакия, Венгрия, Чехия. Исключение составляет Великобритания, на которую также были совершены атаки. В инфицированных с помощью HTML Smuggling документах также упоминаются Швеция и Франция.