A kínai államhoz köthető csoport egy látszólag az Európai Bizottságtól érkezett levelet küldött a diplomatáknak, amelyen keresztül megfertőzte a gépeket.
Magyar EU-diplomaták kerültek egy kínai hackercsoport célkeresztjébe – számolt be róla a Telex az Arctic Wolf kiberbiztonsági cég jelentése alapján. Az UNC6384 csoport a kínai államhoz köthető, és egy Windows-sérülékenységet használt ki.
A magyar mellett belga, szerb, olasz és holland diplomáciai célpontjaik is voltak.
A UNC6384 egy ismert kínai hackercsoport, augusztusban a Google kiberbiztonsági részlege azonosította egy hasonló márciusi kampányukat, amelyben akkor délkelet-ázsiai diplomatákat vettek célba. A most felfedezett új támadás a csoport taktikai evolúciójáról árulkodik.
A támadás egy e-maillel indult, amely látszólag az Európai Bizottságtól érkezett, és valamilyen európai bizottság ülésről, NATO-val kapcsolatos workshopról vagy multilaterális diplomáciai koordinációs eseményről szólt. A magyar célpontok esetében a csali egy Agenda_Meeting 26 Sep Brussels nevű pdf-fájl volt, amely a bizottság bővítésért és keleti szomszédságért felelős főigazgatósága által szeptember 26-án tartott megbeszélésre utalt.
A sérülékenységen keresztül a támadók PowerShell-parancsokat tudtak végrehajtani a megfertőzött gépeken, ezzel elindítva egy többlépcsős kártevőláncot, amelynek a végén lehetővé vált, hogy távolról hozzáférjenek az áldozatok gépéhez.
A használt PlugX trójai program lehetővé teszi többek között, hogy a támadók rögzítsék a megfertőzött gépen leütött billentyűket, illetve fájlokat töltsenek fel és le. A most használt verzió jelentősen áramvonalasított, nehezebben detektálható, mint a korábbi kiberkémkedési kampányokban azonosított változatok.
Magyar EU-diplomaták kerültek egy kínai hackercsoport célkeresztjébe – számolt be róla a Telex az Arctic Wolf kiberbiztonsági cég jelentése alapján. Az UNC6384 csoport a kínai államhoz köthető, és egy Windows-sérülékenységet használt ki.
A magyar mellett belga, szerb, olasz és holland diplomáciai célpontjaik is voltak.
A UNC6384 egy ismert kínai hackercsoport, augusztusban a Google kiberbiztonsági részlege azonosította egy hasonló márciusi kampányukat, amelyben akkor délkelet-ázsiai diplomatákat vettek célba. A most felfedezett új támadás a csoport taktikai evolúciójáról árulkodik.
A támadás egy e-maillel indult, amely látszólag az Európai Bizottságtól érkezett, és valamilyen európai bizottság ülésről, NATO-val kapcsolatos workshopról vagy multilaterális diplomáciai koordinációs eseményről szólt. A magyar célpontok esetében a csali egy Agenda_Meeting 26 Sep Brussels nevű pdf-fájl volt, amely a bizottság bővítésért és keleti szomszédságért felelős főigazgatósága által szeptember 26-án tartott megbeszélésre utalt.
A sérülékenységen keresztül a támadók PowerShell-parancsokat tudtak végrehajtani a megfertőzött gépeken, ezzel elindítva egy többlépcsős kártevőláncot, amelynek a végén lehetővé vált, hogy távolról hozzáférjenek az áldozatok gépéhez.
A használt PlugX trójai program lehetővé teszi többek között, hogy a támadók rögzítsék a megfertőzött gépen leütött billentyűket, illetve fájlokat töltsenek fel és le. A most használt verzió jelentősen áramvonalasított, nehezebben detektálható, mint a korábbi kiberkémkedési kampányokban azonosított változatok.
