Μια στοχευμένη εκστρατεία κατασκοπείας στον κυβερνοχώρο έχει εμφανιστεί σε όλη τη Νοτιοανατολική Ασία, επηρεάζοντας συγκεκριμένα κυβερνητικούς οργανισμούς και ΜΜΕ σε χώρες που περιβάλλουν τη Θάλασσα της Νότιας Κίνας.
Η εκστρατεία, η οποία παρακολουθείται ενεργά από τις αρχές του 2025, επιδεικνύει προηγμένα χαρακτηριστικά επίμονης απειλής με έμφαση σε έθνη όπως το Λάος, η Καμπότζη, η Σιγκαπούρη, οι Φιλιππίνες και η Ινδονησία.
Η αλυσίδα επίθεσης ξεκινά με ένα φαινομενικά νόμιμο αρχείο με το όνομα “Proposal_for_Cooperation_3415.05092025.rar” που εκμεταλλεύεται το CVE-2025-8088, μια ευπάθεια διάβασης διαδρομής στο λογισμικό WinRAR.
Οι επιτιθέμενοι χρησιμοποιούν μια διαδικασία μόλυνσης πολλαπλών σταδίων που δείχνει την τεχνική τους εμπειρία και τον στρατηγικό σχεδιασμό τους.
Ο αρχικός συμβιβασμός πραγματοποιείται μέσω μηνυμάτων ηλεκτρονικού “ψαρέματος” (spear-phishing) που περιέχουν το κακόβουλο αρχείο RAR, το οποίο ενεργοποιεί αυτόματα την ευπάθεια όταν τα θύματα επιχειρούν να εξαγάγουν το περιεχόμενο.
Αυτή η εκμετάλλευση επιτρέπει στους φορείς απειλής να εγκαταστήσουν ένα σενάριο persistence στον φάκελο εκκίνησης του χρήστη χρησιμοποιώντας τη διέλευση διαδρομής σε συνδυασμό με μια τεχνική εναλλακτικής ροής δεδομένων.
Ερευνητές ασφάλειας CyberArmor αναγνωρισθείς Αυτή η εξελιγμένη επιχείρηση παρακολουθεί συνεχείς δραστηριότητες κατασκοπείας που στοχεύουν τομείς ζωτικής σημασίας υποδομών και πληροφοριών.
Η καμπάνια δείχνει μια σαφή προτίμηση για τεχνικές πλευρικής φόρτωσης DLL σε πολλά στάδια μόλυνσης.
Οι κυβερνήσεις και οι οργανισμοί μέσων ενημέρωσης αντιπροσωπεύουν στόχους υψηλής αξίας επειδή επηρεάζουν άμεσα τις αποφάσεις πολιτικής, διαμορφώνουν την κοινή γνώμη και καθορίζουν τη διεθνή στρατηγική ευθυγράμμιση.
.w.jpeg)
Η κακόβουλη καμπάνια λειτουργεί μέσω τεσσάρων διαφορετικών σταδίων, καθένα από τα οποία έχει σχεδιαστεί για να διατηρεί την επιμονή αποφεύγοντας τον εντοπισμό από προϊόντα ασφαλείας.
Μετά την εκτέλεση του αρχικού σταγονόμετρου, ένα σενάριο δέσμης με το όνομα “Windows Defender Definition Update.cmd” πραγματοποιεί λήψη πρόσθετων ωφέλιμων φορτίων από το Dropbox και καθιερώνει εμμονή βάσει μητρώου.
Τα επόμενα στάδια περιλαμβάνουν την εκμετάλλευση νόμιμων στοιχείων λογισμικού, όπως το πρόγραμμα περιήγησης OBS και το Adobe Creative Cloud Helper για τη φόρτωση κακόβουλων αρχείων DLL μέσω παραβίασης παραγγελιών αναζήτησης.
Τεχνική ανάλυση του μηχανισμού πλευρικής φόρτωσης DLL
Η τεχνική πλευρικής φόρτωσης DLL αντιπροσωπεύει τη βασική στρατηγική αποφυγής που χρησιμοποιείται σε αυτήν την καμπάνια. Στο Στάδιο 2, οι φορείς απειλών κάνουν κατάχρηση ενός νόμιμου προγράμματος περιήγησης ανοιχτού κώδικα OBS με δυνατότητα εκτέλεσης για αυτόματη φόρτωση ενός τροποποιημένου αρχείου libcef.dll.
Αυτή η τροποποιημένη βιβλιοθήκη εκτελεί κακόβουλο κώδικα ενώ διατηρεί την εμφάνιση της κανονικής λειτουργίας λογισμικού. Το backdoor επικοινωνεί με τους χειριστές μέσω του Telegram χρησιμοποιώντας ένα κρυπτογραφημένο bot token, παρέχοντας τρεις κύριες εντολές: εκτέλεση κελύφους, λήψη στιγμιότυπου οθόνης και δυνατότητες αποστολής αρχείων.
Το Στάδιο 3 συνεχίζει την προσέγγιση πλευρικής φόρτωσης DLL αξιοποιώντας το στοιχείο Creative Cloud Helper της Adobe. Το νόμιμο “Creative Cloud Helper.exe” φορτώνει ένα κακόβουλο αρχείο CRClient.dll, το οποίο περιέχει λειτουργικότητα για την αποκρυπτογράφηση και την εκτέλεση του τελικού ωφέλιμου φορτίου backdoor που είναι αποθηκευμένο ως “Update.lib”.
Η διαδικασία αποκρυπτογράφησης χρησιμοποιεί μια απλή τεχνική κωδικοποίησης XOR, αποδεικνύοντας ότι η εξελιγμένη κρυπτογράφηση δεν είναι πάντα απαραίτητη για επιτυχημένες λειτουργίες.
Το ακόλουθο απόσπασμα κώδικα δείχνει τη λειτουργία αποκρυπτογράφησης:-
// XOR decryption with hardcoded key
for (size_t i = 0; i Το τελικό backdoor παρέχει ολοκληρωμένες δυνατότητες απομακρυσμένης πρόσβασης μέσω επικοινωνίας HTTPS με διακομιστές εντολών και ελέγχου που βρίσκονται στο public.megadatacloud[.]com και διεύθυνση IP 104.234.37[.]45.
Η κίνηση δικτύου παραμένει κρυπτογραφημένη χρησιμοποιώντας λειτουργίες XOR, καθιστώντας την ανίχνευση δύσκολη για τα παραδοσιακά συστήματα παρακολούθησης ασφάλειας.
Η κερκόπορτα υποστηρίζει οκτώ διαφορετικές λειτουργίες εντολών, συμπεριλαμβανομένης της εκτέλεσης εντολών, της φόρτωσης DLL, της εκτέλεσης κώδικα κελύφους, του χειρισμού αρχείων και μιας λειτουργίας kill switch που τερματίζει τις λειτουργίες μετά από τυχαία διαστήματα.
