DOPLUGS Stražnja vrata

Mustang Panda, akter prijetnje s vezama s Kinom, koristi prilagođenu varijantu stražnjih vrata PlugX (također poznatu kao Korplug ), koja se naziva DOPLUGS, kako bi ciljala na nekoliko azijskih nacija. Ova prilagođena inačica zlonamjernog softvera PlugX razlikuje se od tipične varijante nedostatkom potpuno integriranog backdoor naredbenog modula; umjesto toga, posebno je dizajniran za preuzimanje potonjeg modula. Primarni fokus DOPLUGS napada bio je na ciljevima koji se nalaze u Tajvanu i Vijetnamu, s manjim pojavama u Hong Kongu, Indiji, Japanu, Maleziji, Mongoliji pa čak i Kini.

Vjeruje se da je Mustang Panda aktivan više od desetljeća

Mustang Panda, također poznat pod raznim aliasima, kao što su BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 i TEMP.Hex uvelike se oslanja na korištenje PlugX-a kao temeljnog alata . Ovaj akter prijetnje aktivan je najmanje od 2012. godine, iako su njegove aktivnosti privukle pozornost javnosti 2017. godine.

Modus operandi Mustang Pande uključuje provođenje pomno osmišljenih spear-phishing kampanja osmišljenih za isporuku niza prilagođenog zlonamjernog softvera. Od 2018. poznato je da prijetnja postavlja vlastite prilagođene verzije PlugX-a, uključujući RedDelta , Thor, Hodur i DOPLUGS (distribuirane kroz kampanju pod nazivom SmugX).

Lanci kompromisa koje dirigira Mustang Panda koriste niz sofisticiranih taktika. To uključuje korištenje phishing poruka kao mehanizma isporuke za korisni teret prve faze. Ovaj korisni teret, dok predstavlja dokument mamac primatelju, potajno raspakira legitimnu, potpisanu izvršnu datoteku koja je podložna bočnom učitavanju DLL-a. Ova tehnika bočnog učitavanja DLL-a zatim se koristi za učitavanje biblioteke dinamičke veze (DLL), koja dekriptira i izvršava PlugX malware.

Nakon što se postavi, zlonamjerni softver PlugX nastavlja dohvaćati ili Poison Ivy Remote Access Trojan (RAT) ili Cobalt Strike Beacon, uspostavljajući vezu s poslužiteljem kojim upravlja Mustang Panda. Ovaj zamršeni slijed radnji naglašava naprednu i upornu prirodu kibernetičkih operacija Mustang Pande.

DOPLUGS Backdoor novi je dodatak arsenalu zlonamjernog softvera kibernetičke kriminalne grupe

Istraživači su ga prvotno primijetili u rujnu 2022., DOPLUGS funkcionira kao downloader opremljen s četiri različite naredbe za stražnjim vratima. Naime, jedna od ovih naredbi dizajnirana je za olakšavanje preuzimanja konvencionalne verzije zlonamjernog softvera PlugX.

Stručnjaci za sigurnost također su otkrili varijacije DOPLUGS-a koje uključuju modul pod nazivom KillSomeOne . Ovaj dodatak služi u više svrha, uključujući distribuciju zlonamjernog softvera, prikupljanje informacija i krađu dokumenata putem USB pogona.

Ova posebna varijanta DOPLUGS-a uključuje dodatnu komponentu pokretača. Ova komponenta izvršava legitimnu izvršnu datoteku koristeći DLL tehnike bočnog učitavanja. Nadalje, podržava funkcije kao što su izvršavanje naredbi i preuzimanje zlonamjernog softvera u sljedećoj fazi s poslužitelja kojim upravlja akter prijetnje.

Inačicu PlugX-a izrađenu po narudžbi koja sadrži modul KillSomeOne, posebno dizajniran za širenje putem USB pogona, otkrili su istraživači Infosec-a već u siječnju 2020. Malware je postavljen kao dio niza napada usmjerenih na Hong Kong i Vijetnam.

Krajem 2023. izašla je na vidjelo kampanja Mustang Panda usmjerena na tajvanske političke, diplomatske i vladine subjekte koji koriste DOPLUGS. Operacija napada pokazala je karakterističnu karakteristiku - štetni DLL izrađen je pomoću programskog jezika Nim. Za razliku od svojih prethodnika, ova nova varijanta koristi jedinstvenu implementaciju RC4 algoritma za dešifriranje PlugX-a, odstupajući od konvencionalne upotrebe Windows Cryptsp.dll biblioteke u prethodnim verzijama.