DOPLUGS Backdoor

موستانگ پاندا، یک بازیگر تهدید کننده با چین، از یک نوع سفارشی از درپشتی PlugX (همچنین به عنوان Korplug شناخته می‌شود) به نام DOPLUGS برای هدف قرار دادن چندین کشور آسیایی استفاده کرده است. این نسخه اختصاصی بدافزار PlugX با نداشتن یک ماژول فرمان کاملاً یکپارچه درب پشتی با نوع معمولی متفاوت است. در عوض، به طور خاص برای دانلود ماژول دوم طراحی شده است. تمرکز اصلی حملات DOPLUGS بر روی اهداف واقع در تایوان و ویتنام بوده است، با وقوع کمتر در هنگ کنگ، هند، ژاپن، مالزی، مغولستان و حتی چین.

اعتقاد بر این است که موستانگ پاندا بیش از یک دهه است که فعال بوده است

موستانگ پاندا که با نام‌های مستعار مختلفی مانند BASIN، Bronze President، Camaro Dragon، Earth Preta، HoneyMyte، RedDelta، Red Lich، Staly Taurus، TA416 و TEMP.Hex نیز شناخته می‌شود، به شدت به استفاده از PlugX به عنوان ابزار اصلی متکی است. . این بازیگر تهدید حداقل از سال 2012 فعال بوده است، اگرچه فعالیت های آن در سال 2017 مورد توجه عموم قرار گرفت.

روش کار پاندای موستانگ شامل اجرای کمپین‌های فیشینگ نیزه‌ای است که برای ارائه طیف وسیعی از بدافزارهای سفارشی طراحی شده‌اند. از سال 2018، عامل تهدید برای استقرار نسخه های سفارشی PlugX، از جمله RedDelta ، Thor، Hodur و DOPLUGS شناخته شده است (توزیع شده از طریق کمپینی به نام SmugX).

زنجیره‌های سازش که توسط موستانگ پاندا تنظیم شده‌اند، از یک سری تاکتیک‌های پیچیده استفاده می‌کنند. اینها شامل استفاده از پیام های فیشینگ به عنوان مکانیزم تحویل برای بار مرحله اول است. این بار، در حالی که یک سند فریبنده را به گیرنده ارائه می دهد، به طور مخفیانه یک فایل اجرایی قانونی و امضا شده را که مستعد بارگذاری جانبی DLL است، باز می کند. این تکنیک بارگذاری جانبی DLL سپس برای بارگیری یک کتابخانه پیوند پویا (DLL) استفاده می‌شود که بدافزار PlugX را رمزگشایی و اجرا می‌کند.

پس از استقرار، بدافزار PlugX اقدام به بازیابی تروجان Poison Ivy Remote Access (RAT) یا Cobalt Strike Beacon می کند و با سروری که توسط موستانگ پاندا کنترل می شود ارتباط برقرار می کند. این توالی پیچیده از اقدامات ماهیت پیشرفته و مداوم عملیات سایبری موستانگ پاندا را برجسته می کند.

درپشتی DOPLUGS افزودنی جدید به زرادخانه بدافزار یک گروه مجرمان سایبری است.

در ابتدا توسط محققان در سپتامبر 2022 مشاهده شد، DOPLUGS به عنوان یک دانلود کننده مجهز به چهار فرمان مجزای درب پشتی عمل می کند. قابل ذکر است، یکی از این دستورات برای تسهیل دانلود نسخه معمولی بدافزار PlugX طراحی شده است.

کارشناسان امنیتی همچنین تغییراتی از DOPLUGS را شناسایی کرده اند که ماژولی به نام KillSomeOne را در خود جای داده است. این افزونه اهداف متعددی از جمله توزیع بدافزار، جمع آوری اطلاعات و سرقت اسناد از طریق درایوهای USB را انجام می دهد.

این نوع خاص از DOPLUGS شامل یک جزء پرتابگر اضافی است. این جزء یک فایل اجرایی قانونی را با استفاده از تکنیک های بارگذاری جانبی DLL اجرا می کند. علاوه بر این، از عملکردهایی مانند اجرای فرمان و دانلود بدافزار مرحله بعدی از سروری که توسط عامل تهدید کنترل می شود، پشتیبانی می کند.

یک نوع سفارشی PlugX با ماژول KillSomeOne که به طور خاص برای انتشار از طریق درایوهای USB طراحی شده است، در ژانویه 2020 توسط محققان infosec کشف شد. این بدافزار به عنوان بخشی از مجموعه ای از حملاتی که هنگ کنگ و ویتنام را هدف قرار می دهند، مستقر شده است.

در پایان سال 2023، یک کمپین موستانگ پاندا با هدف نهادهای سیاسی، دیپلماتیک و دولتی تایوانی که از DOPLUGS استفاده می کردند، آشکار شد. عملیات حمله یک ویژگی متمایز را نشان می دهد - DLL مضر با استفاده از زبان برنامه نویسی Nim ساخته شده است. برخلاف نسخه‌های قبلی خود، این نوع جدید از پیاده‌سازی منحصربه‌فردی از الگوریتم RC4 برای رمزگشایی PlugX استفاده می‌کند که از استفاده مرسوم از کتابخانه Windows Cryptsp.dll در نسخه‌های قبلی متفاوت است.