Hlavní obsah
Internet, technologie a elektronika

Čínská špionážní kampaň cílí na Českou republiku - Operace Dragon Weave

Patrik Žák
2:43

Chcete-li článek poslouchat, přihlaste se

Médium.cz je otevřená blogovací platforma, kde mohou lidé svobodně publikovat své texty a videa. Nejde o postoje Seznam.cz ani žádné z jeho redakcí.

Foto: AI ChatGPT - Patrik Žák

Operation Dragon Weave cílí na úředníky a občany v České republice a na Tchaj-wanu. Mezi zasažené sektory patří státní správa, výzkum a akademická sféra, technologické firmy a finanční služby.

Článek

Výzkumníci ze Seqrite Labs odhalili novou kyberšpionážní kampaň s krycím názvem Operation Dragon Weave, která cílí na úředníky a občany v České republice a na Tchaj-wanu. Mezi zasažené sektory patří státní správa, výzkum a akademická sféra, technologické firmy a finanční služby.

Útok začíná spear-phishingovým e-mailem s přílohou ve formátu ZIP. Po rozbalení archiv obsahuje soubory, které na první pohled působí legitimně, ve skutečnosti však tvoří strukturovaný infekční řetězec spouštějící škodlivý kód na pozadí.

Zajímavostí kampaně je, že útočníci připravili dvě nezávislé cesty infekce, které se sbíhají u stejného payloadu. V první variantě oběť otevře škodlivý LNK soubor maskovaný dvojitou příponou jako PDF dokument; ten skrytě spustí VBScript, který předá řízení PowerShell skriptu. Skript dešifruje pomocí jednoduché XOR operace soubor 1.dat a z něj vytvoří a spustí RuntimeBroker_update.exe.

Ve druhé variantě oběť spustí přímo binárku z archivu. Samostatný dropper napsaný v jazyce Rust, který všechny komponenty nese v sobě.

V obou případech následně dojde k DLL side-loadingu podvržené knihovny UnityPlayer.dll a k nasazení Rust loaderu pojmenovaného RUSTCLOAK. Ten před spuštěním payloadu kontroluje název počítače proti seznamu více než stovky známých sandboxových strojů a v případě shody se okamžitě ukončí.

Finálním payloadem je AZUREVEIL, plnohodnotný agent open-source frameworku AdaptixC2. Jeho nejzajímavějším rysem je komunikace s řídicí infrastrukturou: malware nepoužívá žádný tradiční C2 server, ale takzvaný dead drop přístup přes Microsoft Azure Blob Storage. Útočník i infikovaný systém spolu nikdy nekomunikují přímo takže se provoz ztrácí v běžné komunikaci s legitimní cloudovou službou na portu 443.

Pro český kontext je podstatná návnada napodobující dokument České správy sociálního zabezpečení (ČSSZ). Decoy PDF vložené přímo do spustitelného souboru vypadá jako oficiální potvrzení rezervace termínu návštěvy úřadu včetně jména fiktivní osoby, data schůzky, pokynů k vyzvednutí pořadového lístku a odkazu na oficiální web cssz[.]cz.

Máte na tohle téma jiný názor? Napište o něm vlastní článek.

Napsat článek

Texty jsou tvořeny uživateli a nepodléhají procesu korektury. Pokud najdete chybu nebo nepřesnost, prosíme, pošlete nám ji na medium.chyby@firma.seznam.cz.

Související témata:
Kybernetická bezpečnost
Čína

Sdílejte s lidmi své příběhy

Stačí mít účet na Seznamu a můžete začít publikovat svůj obsah. To nejlepší se může zobrazit i na hlavní stránce Seznam.cz

Chci začít psát
Jak na to?

Další články autora

Doporučované

Načítám