【間諜攻擊】SmugX結合雙重隱身技術　專攻歐洲外交人員

網絡安全公司 Check Point 發表研究報告，詳細分析一項被稱為 SmugX 的網絡釣魚攻擊，由於從捕獲的病毒樣本中發現，這次攻擊主要針對英國、法國、瑞典、烏克蘭、捷克、匈牙利和斯洛伐克的大使館和外交部門，加上使用的病毒與中國 APT 黑客集團相似，因此研究人員將它歸類為有明確政治目標的間諜活動。

從研究人員公開的報告可見，SmugX 間諜攻擊自 2022 年 12 月開始，並持續執行多月，顯示攻擊者有長期目標。

黑客目標清晰　手法複雜

這次攻擊有以下兩個特點，首先是黑客的攻擊目標清晰，主要針對歐洲多國外交官員和部門，並非漁翁撒網。研究員捕獲的釣魚樣本中，有給塞爾維亞駐布達佩斯大使館的信件、闡述瑞典擔任歐盟理事會主席國的優先事項文件，以及兩個中國人權律師的文章，顯然是希望引起目標國家的外交官興趣，繼而打開電郵內的附件，完成整個入侵程序。

其次是 SmugX 的攻擊手法非常複雜，它結合了先進的 HTML smuggling 和 DLL側載技術，可有效避過網絡安全工具偵測。DLL 側載技術已在最近討論過，它主要透過替換電腦內已安裝的 DLL 動態連結資料檔執行惡意活動，有興趣可參考之前的文章。HTML smunggling 雖然也不是新技術，但在這次攻擊中因結合了 DLL 側載，因此更能將惡意行為變得合法。

延伸閱讀：【更勝一籌】新進程注入技術Mockingjay　成功迴避EDR偵測

PlugX 木馬程式　中國 APT 組織常用

它是運作原理是黑客首先製作了一個帶有 JavaScript 的 HTML 網頁，然後透過釣魚手法引導目標人物打開 HTML 檔案或連結，當瀏覽器編譯網站上存在的 JavaScript，便會自動下載加密了的惡意編碼，並在進入網絡防火牆後再將惡意檔案組裝起來。

SmugX 攻擊採用兩種感染方式，第一種攻擊會透過電郵發送一個 ZIP 壓縮檔，內裏含有一個惡意 LNK 文件。打開後便會將三個檔案解壓至 Windows 臨時目錄中，包括一個合法的 RoboForm 密碼管理器、一個惡意 DLL 檔案及一個 PlugX 木馬程式。

另一種方式會在打開附件或網頁時暗中執行惡意行為，然後從黑客的控制中心下載一個 Windows MSI 檔案，內裏包含一個被加入惡意功能的合法執行文件、DLL 檔案及 PlugX 木馬程式，經執行後會隱藏在 Windows 內儲存，以及自動添加到 Windows registry，確保會在開機後被執行。

研究員指兩種感染方式都會在目標人物點擊附件或檔案後，自動載入一個 PDF 文件，令目標人物不會懷疑背後還有其他惡意程序在運行。由於使用的 PlugX 木馬程式自 2008 年已被多個中國 APT 組織使用，因而相信攻擊可能與中國黑客組織有關。

資料來源：https://www.bleepingcomputer.com/news/security/hackers-target-european-government-entities-in-smugx-campaign 及 https://thehackernews.com/2023/07/chinese-hackers-use-html-smuggling-to.html?&web_view=true

相關文章：【中美角力】Microsoft揪出國家級黑客　Volt Typhoon搶先入侵美基建設施