DOPLUGS Takaovi

Mustang Panda, uhkatoimija, jolla on siteitä Kiinaan, on käyttänyt PlugX:n (tunnetaan myös nimellä Korplug ) takaoven mukautettua varianttia, jota kutsutaan nimellä DOPLUGS, kohdistaakseen kohteen useisiin Aasian maihin. Tämä PlugX-haittaohjelman räätälöity versio eroaa tyypillisestä versiosta sillä, että siitä puuttuu täysin integroitu takaoven komentomoduuli; sen sijaan se on suunniteltu erityisesti jälkimmäisen moduulin lataamiseen. DOPLUGS-hyökkäysten pääpaino on ollut Taiwanissa ja Vietnamissa sijaitsevissa kohteissa, harvemmin Hongkongissa, Intiassa, Japanissa, Malesiassa, Mongoliassa ja jopa Kiinassa.

Mustang Pandan uskotaan olleen aktiivinen yli vuosikymmenen ajan

Mustang Panda, joka tunnetaan myös useilla aliaksilla, kuten BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 ja TEMP.Hex, perustuu vahvasti PlugX:n käyttöön ydintyökaluna. . Tämä uhkatoimija on ollut aktiivinen ainakin vuodesta 2012, vaikka sen toiminta sai julkista huomiota vuonna 2017.

Mustang Pandan toimintatapaan kuuluu huolella suunniteltujen keihäs-phishing-kampanjoiden toteuttaminen, jotka on suunniteltu toimittamaan erilaisia räätälöityjä haittaohjelmia. Vuodesta 2018 lähtien uhkatoimijan on tiedetty käyttäneen omia mukautettuja PlugX-versioitaan, mukaan lukien RedDelta , Thor, Hodur ja DOPLUGS (jaettu SmugX-nimisen kampanjan kautta).

Mustang Pandan organisoimat kompromissiketjut käyttävät sarjaa hienostuneita taktiikoita. Näitä ovat muun muassa tietojenkalasteluviestien käyttö ensimmäisen vaiheen hyötykuorman toimitusmekanismina. Tämä hyötykuorma, samalla kun se esittää houkutusasiakirjan vastaanottajalle, purkaa salaa laillisen, allekirjoitetun suoritettavan tiedoston, joka on alttiina DLL-sivulataukselle. Tätä DLL-sivulataustekniikkaa käytetään sitten lataamaan dynaamisesti linkkikirjasto (DLL), joka purkaa ja suorittaa PlugX-haittaohjelman.

Kun PlugX-haittaohjelma on otettu käyttöön, se hakee joko Poison Ivy Remote Access Trojan (RAT) tai Cobalt Strike Beaconin ja muodostaa yhteyden Mustang Pandan hallitsemaan palvelimeen. Tämä monimutkainen toimintosarja korostaa Mustang Pandan kyberoperaatioiden kehittynyttä ja jatkuvaa luonnetta.

DOPLUGS-takaovi on uusi lisäys kyberrikollisryhmän haittaohjelmaarsenaaliin

Tutkijat havaitsivat alun perin syyskuussa 2022, että DOPLUGS toimii latausohjelmana, joka on varustettu neljällä erillisellä takaoven komennolla. Erityisesti yksi näistä komennoista on suunniteltu helpottamaan PlugX-haittaohjelman perinteisen version lataamista.

Tietoturvaasiantuntijat ovat myös havainneet DOPLUGS-muunnelmia, jotka sisältävät KillSomeOne- nimisen moduulin. Tämä laajennus palvelee useita tarkoituksia, mukaan lukien haittaohjelmien levittäminen, tiedon kerääminen ja asiakirjojen varastaminen USB-asemien kautta.

Tämä DOPLUGS-versio sisältää ylimääräisen kantorakettikomponentin. Tämä komponentti suorittaa laillisen suoritettavan tiedoston, joka käyttää DLL-sivulataustekniikoita. Lisäksi se tukee toimintoja, kuten komentojen suorittamista ja seuraavan vaiheen haittaohjelmien lataamista uhkatekijän hallitsemalta palvelimelta.

Infosec-tutkijat löysivät jo tammikuussa 2020 mittatilaustyönä tehdyn PlugX-version, jossa on KillSomeOne-moduuli ja joka on suunniteltu erityisesti USB-asemien kautta levittämiseen. Haittaohjelma otettiin käyttöön osana Hongkongiin ja Vietnamiin kohdistettua hyökkäyssarjaa.

Vuoden 2023 lopulla julkistettiin Mustang Panda -kampanja, joka on suunnattu DOPLUGSia hyödyntäville taiwanilaisille poliittisille, diplomaattisille ja hallinnollisille tahoille. Hyökkäysoperaatiolla oli erottuva ominaisuus - haitallinen DLL luotiin Nim-ohjelmointikielellä. Toisin kuin edeltäjänsä, tämä uusi versio käyttää ainutlaatuista RC4-algoritmin toteutusta PlugX:n salauksen purkamiseen, mikä poikkeaa aiempien versioiden tavanomaisesta Windows Cryptsp.dll -kirjaston käytöstä.