DOPLUGS पिछला दरवाजा

मस्टैंग पांडा, चीन से संबंध रखने वाला एक खतरा अभिनेता, ने कई एशियाई देशों को लक्षित करने के लिए प्लगएक्स (जिसे कोरप्लग भी कहा जाता है) बैकडोर के एक अनुकूलित संस्करण को नियोजित किया है, जिसे DOPLUGS कहा जाता है। प्लगएक्स मैलवेयर का यह अनुकूलित संस्करण पूरी तरह से एकीकृत बैकडोर कमांड मॉड्यूल की कमी के कारण सामान्य संस्करण से भिन्न है; इसके बजाय, इसे विशेष रूप से बाद वाले मॉड्यूल को डाउनलोड करने के लिए डिज़ाइन किया गया है। DOPLUGS हमलों का प्राथमिक ध्यान ताइवान और वियतनाम में स्थित लक्ष्यों पर रहा है, हांगकांग, भारत, जापान, मलेशिया, मंगोलिया और यहां तक कि चीन में भी कम घटनाएं हुई हैं।

माना जाता है कि मस्टैंग पांडा एक दशक से भी अधिक समय से सक्रिय है

मस्टैंग पांडा, जिसे बेसिन, ब्रॉन्ज़ प्रेसिडेंट, केमेरो ड्रैगन, अर्थ प्रीटा, हनीमाइट, रेडडेल्टा, रेड लिच, स्टेटली टॉरस, टीए416 और टीईएमपी.हेक्स जैसे विभिन्न उपनामों से भी जाना जाता है, मुख्य उपकरण के रूप में प्लगएक्स के उपयोग पर बहुत अधिक निर्भर करता है। . यह धमकी देने वाला अभिनेता कम से कम 2012 से सक्रिय है, हालांकि इसकी गतिविधियों ने 2017 में जनता का ध्यान आकर्षित किया।

मस्टैंग पांडा की कार्यप्रणाली में कस्टम मैलवेयर की एक श्रृंखला वितरित करने के लिए सावधानीपूर्वक तैयार किए गए स्पीयर-फ़िशिंग अभियानों को निष्पादित करना शामिल है। 2018 के बाद से, थ्रेट एक्टर को प्लगएक्स के अपने स्वयं के अनुकूलित संस्करणों को तैनात करने के लिए जाना जाता है, जिसमें रेडडेल्टा , थोर, होडुर और डीओपीएलयूजीएस (स्मगएक्स नामक अभियान के माध्यम से वितरित) शामिल हैं।

मस्टैंग पांडा द्वारा आयोजित समझौता श्रृंखलाएं परिष्कृत रणनीति की एक श्रृंखला का उपयोग करती हैं। इनमें प्रथम चरण के पेलोड के लिए वितरण तंत्र के रूप में फ़िशिंग संदेशों का उपयोग करना शामिल है। यह पेलोड, प्राप्तकर्ता को एक नकली दस्तावेज़ प्रस्तुत करते समय, गुप्त रूप से एक वैध, हस्ताक्षरित निष्पादन योग्य को अनपैक करता है जो डीएलएल साइड-लोडिंग के लिए अतिसंवेदनशील होता है। इस डीएलएल साइड-लोडिंग तकनीक को डायनेमिक-लिंक लाइब्रेरी (डीएलएल) को लोड करने के लिए नियोजित किया जाता है, जो प्लगएक्स मैलवेयर को डिक्रिप्ट और निष्पादित करता है।

एक बार तैनात होने के बाद, प्लगएक्स मैलवेयर या तो पॉइज़न आइवी रिमोट एक्सेस ट्रोजन (आरएटी) या कोबाल्ट स्ट्राइक बीकन को पुनः प्राप्त करने के लिए आगे बढ़ता है, और मस्टैंग पांडा द्वारा नियंत्रित सर्वर के साथ कनेक्शन स्थापित करता है। क्रियाओं का यह जटिल क्रम मस्टैंग पांडा के साइबर संचालन की उन्नत और निरंतर प्रकृति पर प्रकाश डालता है।

DOPLUGS बैकडोर साइबर क्रिमिनल ग्रुप के मैलवेयर शस्त्रागार में एक नया अतिरिक्त है

शुरुआत में सितंबर 2022 में शोधकर्ताओं द्वारा देखा गया, DOPLUGS चार अलग-अलग बैकडोर कमांड से लैस एक डाउनलोडर के रूप में कार्य करता है। विशेष रूप से, इनमें से एक कमांड को प्लगएक्स मैलवेयर के पारंपरिक संस्करण को डाउनलोड करने की सुविधा के लिए डिज़ाइन किया गया है।

सुरक्षा विशेषज्ञों ने DOPLUGS की विविधताओं का भी पता लगाया है जिसमें किलसमवन नामक मॉड्यूल शामिल है। यह प्लगइन कई उद्देश्यों को पूरा करता है, जिसमें मैलवेयर का वितरण, जानकारी का संग्रह और यूएसबी ड्राइव के माध्यम से दस्तावेजों की चोरी शामिल है।

DOPLUGS के इस विशेष संस्करण में एक अतिरिक्त लॉन्चर घटक शामिल है। यह घटक डीएलएल साइड-लोडिंग तकनीकों को नियोजित करते हुए एक वैध निष्पादन योग्य निष्पादित करता है। इसके अलावा, यह कमांड निष्पादन और खतरे वाले अभिनेता द्वारा नियंत्रित सर्वर से अगले चरण के मैलवेयर को डाउनलोड करने जैसी कार्यात्मकताओं का समर्थन करता है।

किलसमवन मॉड्यूल की विशेषता वाला एक कस्टम-निर्मित प्लगएक्स संस्करण, विशेष रूप से यूएसबी ड्राइव के माध्यम से प्रचार-प्रसार के लिए डिज़ाइन किया गया था, जिसे इन्फोसेक शोधकर्ताओं द्वारा जनवरी 2020 की शुरुआत में उजागर किया गया था। यह मैलवेयर हांगकांग और वियतनाम को लक्षित हमलों की एक श्रृंखला के हिस्से के रूप में तैनात किया गया था।

2023 के अंत में, DOPLUGS का उपयोग करने वाली ताइवानी राजनीतिक, राजनयिक और सरकारी संस्थाओं के उद्देश्य से एक मस्टैंग पांडा अभियान प्रकाश में लाया गया था। हमले के ऑपरेशन ने एक विशिष्ट विशेषता प्रदर्शित की - हानिकारक डीएलएल को निम प्रोग्रामिंग भाषा का उपयोग करके तैयार किया गया था। अपने पूर्ववर्तियों के विपरीत, यह नया संस्करण प्लगएक्स को डिक्रिप्ट करने के लिए आरसी4 एल्गोरिदम के एक अद्वितीय कार्यान्वयन को नियोजित करता है, जो पिछले संस्करणों में विंडोज क्रिप्टस्प.डीएलएल लाइब्रेरी के पारंपरिक उपयोग से अलग है।