DOPLUGS Bagdør
Mustang Panda, en trusselsaktør med bånd til Kina, har brugt en tilpasset variant af PlugX (også kendt som Korplug ) bagdøren, kaldet DOPLUGS, til at målrette mod flere asiatiske nationer. Denne skræddersyede version af PlugX malware adskiller sig fra den typiske variant ved at mangle et fuldt integreret bagdørs kommandomodul; i stedet er det specielt designet til at downloade sidstnævnte modul. Det primære fokus for DOPLUGS-angreb har været på mål beliggende i Taiwan og Vietnam, med mindre forekomster i Hong Kong, Indien, Japan, Malaysia, Mongoliet og endda Kina.
Mustang Panda menes at have været aktiv i mere end et årti
Mustang Panda, også kendt under forskellige aliaser, såsom BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 og TEMP.Hex er stærkt afhængig af brugen af PlugX som et kerneværktøj . Denne trusselsaktør har været aktiv siden mindst 2012, selvom dens aktiviteter fik offentlig opmærksomhed i 2017.
Mustang Panda's modus operandi involverer at udføre omhyggeligt udformede spear-phishing-kampagner designet til at levere en række tilpasset malware. Siden 2018 har trusselsaktøren været kendt for at implementere sine egne tilpassede versioner af PlugX, inklusive RedDelta , Thor, Hodur og DOPLUGS (distribueret gennem en kampagne ved navn SmugX).
Kompromiskæderne orkestreret af Mustang Panda anvender en række sofistikerede taktikker. Disse omfatter brug af phishing-beskeder som en leveringsmekanisme for en første-trins nyttelast. Denne nyttelast, mens den præsenterer et lokkedokument for modtageren, pakker i det skjulte en legitim, signeret eksekverbar ud, der er modtagelig for DLL-sideindlæsning. Denne DLL-sideindlæsningsteknik bruges derefter til at indlæse et dynamisk linkbibliotek (DLL), som dekrypterer og eksekverer PlugX-malwaren.
Når den er installeret, fortsætter PlugX-malwaren med at hente enten Poison Ivy Remote Access Trojan (RAT) eller Cobalt Strike Beacon og etablerer en forbindelse med en server, der styres af Mustang Panda. Denne indviklede rækkefølge af handlinger fremhæver den avancerede og vedvarende karakter af Mustang Pandas cyberoperationer.
DOPLUGS-bagdøren er en ny tilføjelse til en cyberkriminel gruppes malware-arsenal
Oprindeligt observeret af forskere i september 2022, fungerer DOPLUGS som en downloader udstyret med fire forskellige bagdørskommandoer. Navnlig er en af disse kommandoer designet til at lette download af den konventionelle version af PlugX malware.
Sikkerhedseksperter har også opdaget variationer af DOPLUGS, der inkorporerer et modul kaldet KillSomeOne . Dette plugin tjener flere formål, herunder distribution af malware, indsamling af oplysninger og tyveri af dokumenter via USB-drev.
Denne særlige variant af DOPLUGS inkluderer en ekstra launcher-komponent. Denne komponent udfører en legitim eksekverbar, ved at anvende DLL-sideindlæsningsteknikker. Ydermere understøtter den funktionaliteter såsom kommandoudførelse og download af næste trins malware fra en server, der kontrolleres af trusselsaktøren.
En specialfremstillet PlugX-variant med KillSomeOne-modulet, specielt designet til udbredelse gennem USB-drev, blev afsløret allerede i januar 2020 af infosec-forskere. Malwaren blev implementeret som en del af en række angreb rettet mod Hong Kong og Vietnam.
I slutningen af 2023 blev en Mustang Panda-kampagne rettet mod taiwanske politiske, diplomatiske og statslige enheder, der anvender DOPLUGS, frem i lyset. Angrebsoperationen viste en karakteristisk karakteristik - den skadelige DLL blev lavet ved hjælp af programmeringssproget Nim. I modsætning til sine forgængere anvender denne nye variant en unik implementering af RC4-algoritmen til dekryptering af PlugX, der afviger fra den konventionelle brug af Windows Cryptsp.dll-biblioteket i tidligere versioner.
