DOPLUGS Backdoor

Η Mustang Panda, ένας παράγοντας απειλών με δεσμούς με την Κίνα, έχει χρησιμοποιήσει μια προσαρμοσμένη παραλλαγή της κερκόπορτας PlugX (επίσης γνωστή ως Korplug ), που αναφέρεται ως DOPLUGS, για να στοχεύσει πολλά ασιατικά έθνη. Αυτή η προσαρμοσμένη έκδοση του κακόβουλου λογισμικού PlugX διαφέρει από την τυπική παραλλαγή καθώς δεν διαθέτει πλήρως ενσωματωμένη μονάδα εντολών backdoor. Αντίθετα, έχει σχεδιαστεί ειδικά για τη λήψη της τελευταίας ενότητας. Η κύρια εστίαση των επιθέσεων DOPLUGS ήταν σε στόχους που βρίσκονται στην Ταϊβάν και το Βιετνάμ, με μικρότερα περιστατικά στο Χονγκ Κονγκ, την Ινδία, την Ιαπωνία, τη Μαλαισία, τη Μογγολία και ακόμη και την Κίνα.

Η Mustang Panda πιστεύεται ότι ήταν ενεργή για περισσότερο από μια δεκαετία

Το Mustang Panda, γνωστό και με διάφορα ψευδώνυμα, όπως BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 και TEMP. Hex βασίζεται σε μεγάλο βαθμό στη χρήση του PlugX ως βασικό εργαλείο . Αυτός ο παράγοντας απειλών δραστηριοποιείται τουλάχιστον από το 2012, αν και οι δραστηριότητές του κέρδισαν την προσοχή του κοινού το 2017.

Ο τρόπος λειτουργίας του Mustang Panda περιλαμβάνει την εκτέλεση προσεκτικά κατασκευασμένων καμπανιών spear-phishing που έχουν σχεδιαστεί για την παροχή μιας σειράς προσαρμοσμένων κακόβουλων προγραμμάτων. Από το 2018, ο παράγοντας απειλών είναι γνωστό ότι αναπτύσσει τις δικές του προσαρμοσμένες εκδόσεις του PlugX, συμπεριλαμβανομένων των RedDelta , Thor, Hodur και DOPLUGS (που διανέμονται μέσω μιας καμπάνιας με το όνομα SmugX).

Οι συμβιβαστικές αλυσίδες που ενορχηστρώθηκαν από το Mustang Panda χρησιμοποιούν μια σειρά από εξελιγμένες τακτικές. Αυτά περιλαμβάνουν τη χρήση μηνυμάτων phishing ως μηχανισμού παράδοσης για ένα ωφέλιμο φορτίο πρώτου σταδίου. Αυτό το ωφέλιμο φορτίο, ενώ παρουσιάζει ένα έγγραφο δόλωμα στον παραλήπτη, αποσυσκευάζει κρυφά ένα νόμιμο, υπογεγραμμένο εκτελέσιμο που είναι επιρρεπές σε πλευρική φόρτωση DLL. Αυτή η τεχνική πλευρικής φόρτωσης DLL χρησιμοποιείται στη συνέχεια για τη φόρτωση μιας βιβλιοθήκης δυναμικής σύνδεσης (DLL), η οποία αποκρυπτογραφεί και εκτελεί το κακόβουλο λογισμικό PlugX.

Μόλις αναπτυχθεί, το κακόβουλο λογισμικό PlugX προχωρά στην ανάκτηση είτε του Poison Ivy Remote Access Trojan (RAT) είτε του Cobalt Strike Beacon, δημιουργώντας μια σύνδεση με έναν διακομιστή που ελέγχεται από το Mustang Panda. Αυτή η περίπλοκη αλληλουχία ενεργειών υπογραμμίζει την προηγμένη και επίμονη φύση των επιχειρήσεων στον κυβερνοχώρο της Mustang Panda.

Το DOPLUGS Backdoor είναι μια νέα προσθήκη στο οπλοστάσιο κακόβουλου λογισμικού μιας ομάδας κυβερνοεγκληματιών

Αρχικά παρατηρήθηκε από ερευνητές τον Σεπτέμβριο του 2022, το DOPLUGS λειτουργεί ως πρόγραμμα λήψης εξοπλισμένο με τέσσερις διακριτές εντολές κερκόπορτας. Συγκεκριμένα, μία από αυτές τις εντολές έχει σχεδιαστεί για να διευκολύνει τη λήψη της συμβατικής έκδοσης του κακόβουλου λογισμικού PlugX.

Οι ειδικοί σε θέματα ασφάλειας έχουν επίσης εντοπίσει παραλλαγές των DOPLUGS που ενσωματώνουν μια λειτουργική μονάδα που ονομάζεται KillSomeOne . Αυτή η προσθήκη εξυπηρετεί πολλούς σκοπούς, συμπεριλαμβανομένης της διανομής κακόβουλου λογισμικού, της συλλογής πληροφοριών και της κλοπής εγγράφων μέσω μονάδων USB.

Αυτή η συγκεκριμένη παραλλαγή του DOPLUGS περιλαμβάνει ένα πρόσθετο στοιχείο εκκίνησης. Αυτό το στοιχείο εκτελεί ένα νόμιμο εκτελέσιμο αρχείο, χρησιμοποιώντας τεχνικές πλευρικής φόρτωσης DLL. Επιπλέον, υποστηρίζει λειτουργίες όπως η εκτέλεση εντολών και η λήψη του κακόβουλου λογισμικού επόμενου σταδίου από έναν διακομιστή που ελέγχεται από τον παράγοντα απειλής.

Μια προσαρμοσμένη παραλλαγή PlugX που διαθέτει τη μονάδα KillSomeOne, ειδικά σχεδιασμένη για διάδοση μέσω μονάδων USB, αποκαλύφθηκε ήδη από τον Ιανουάριο του 2020 από ερευνητές της infosec. Το κακόβουλο λογισμικό αναπτύχθηκε ως μέρος μιας σειράς επιθέσεων με στόχο το Χονγκ Κονγκ και το Βιετνάμ.

Στα τέλη του 2023, μια καμπάνια Mustang Panda που στόχευε σε πολιτικούς, διπλωματικούς και κυβερνητικούς φορείς της Ταϊβάν που χρησιμοποιούν το DOPLUGS ήρθε στο φως. Η λειτουργία επίθεσης εμφάνισε ένα διακριτικό χαρακτηριστικό - το επιβλαβές DLL δημιουργήθηκε χρησιμοποιώντας τη γλώσσα προγραμματισμού Nim. Σε αντίθεση με τους προκατόχους της, αυτή η νέα παραλλαγή χρησιμοποιεί μια μοναδική εφαρμογή του αλγόριθμου RC4 για την αποκρυπτογράφηση του PlugX, που αποκλίνει από τη συμβατική χρήση της βιβλιοθήκης Windows Cryptsp.dll σε προηγούμενες εκδόσεις.