DOPLUGS Hátsó ajtó
A Mustang Panda, a Kínához kötődő fenyegetések szereplője a PlugX ( Korplug néven is ismert) hátsó ajtó testreszabott változatát alkalmazta, amelyet DOPLUGS-nak neveznek, hogy több ázsiai nemzetet megcélozzon. A PlugX kártevőnek ez a testreszabott változata abban különbözik a tipikus változattól, hogy hiányzik belőle egy teljesen integrált hátsó ajtó parancsmodul; ehelyett kifejezetten az utóbbi modul letöltésére készült. A DOPLUGS támadások elsődleges fókuszában Tajvanon és Vietnámban található célpontok állnak, ritkábban Hongkongban, Indiában, Japánban, Malajziában, Mongóliában és még Kínában is.
A Mustang Panda állítólag több mint egy évtizede aktív
A Mustang Panda, amelyet különféle álnevekkel is ismernek, mint például a BASIN, a Bronze President, a Camaro Dragon, az Earth Preta, a HoneyMyte, a RedDelta, a Red Lich, a Stately Taurus, a TA416 és a TEMP.Hex nagymértékben támaszkodik a PlugX alapvető eszközként való használatára. . Ez a fenyegetettség szereplője legalább 2012 óta aktív, bár tevékenysége 2017-ben felkeltette a nyilvánosság figyelmét.
A Mustang Panda működési módja magában foglalja az aprólékosan kidolgozott adathalász kampányok végrehajtását, amelyek célja egy sor egyedi rosszindulatú program szállítása. 2018 óta a fenyegetések szereplője köztudottan saját testreszabott PlugX-verziókat telepít, köztük a RedDelta , Thor, Hodur és DOPLUGS (a SmugX nevű kampányon keresztül terjesztett) verziókat.
A Mustang Panda által megszervezett kompromisszumos láncok kifinomult taktikát alkalmaznak. Ezek közé tartozik az adathalász üzenetek kézbesítési mechanizmusként való használata az első szakaszban lévő hasznos adatokhoz. Ez a hasznos adat, miközben egy csalidokumentumot mutat be a címzettnek, titokban kicsomagolja a törvényes, aláírt végrehajtható fájlt, amely érzékeny a DLL oldalsó betöltésére. Ezt a DLL oldalsó betöltési technikát ezután egy dinamikus kapcsolati könyvtár (DLL) betöltésére használják, amely visszafejti és végrehajtja a PlugX kártevőt.
A telepítést követően a PlugX kártevő letölti a Poison Ivy Remote Access Trojan (RAT) vagy a Cobalt Strike Beacon nevű jelzőfényt, kapcsolatot létesítve a Mustang Panda által vezérelt szerverrel. Ez a bonyolult műveletsor rávilágít a Mustang Panda kiberműveleteinek fejlett és kitartó természetére.
A DOPLUGS Backdoor egy új kiegészítő egy kiberbűnözői csoport rosszindulatú programjainak arzenáljához
A kutatók először 2022 szeptemberében észlelték, hogy a DOPLUGS letöltőként működik, amely négy különálló hátsó ajtó paranccsal rendelkezik. Nevezetesen, ezen parancsok egyike a PlugX malware hagyományos verziójának letöltését hivatott megkönnyíteni.
A biztonsági szakértők a DOPLUGS olyan változatait is észlelték, amelyek a KillSomeOne nevű modult tartalmazzák. Ez a beépülő modul többféle célt szolgál, beleértve a rosszindulatú programok terjesztését, az információgyűjtést és a dokumentumok USB-meghajtókon keresztül történő ellopását.
A DOPLUGS ezen változata egy további indítókomponenst tartalmaz. Ez az összetevő egy legitim végrehajtható fájlt hajt végre, DLL oldalbetöltési technikákat alkalmazva. Ezenkívül támogatja az olyan funkciókat, mint a parancsvégrehajtás és a következő szintű rosszindulatú program letöltése a fenyegetés szereplője által vezérelt szerverről.
Az infosec kutatói már 2020 januárjában felfedezték a KillSomeOne modult tartalmazó egyedi készítésű PlugX változatot, amelyet kifejezetten USB-meghajtókon keresztül történő terjesztésre terveztek. A kártevőt egy Hongkongot és Vietnamot célzó támadássorozat részeként telepítették.
2023 végén napvilágra került egy Mustang Panda kampány, amely a DOPLUGS-t használó tajvani politikai, diplomáciai és kormányzati szerveket célozta meg. A támadási művelet jellegzetes jellegzetességet mutatott: a káros DLL-t a Nim programozási nyelv használatával hozták létre. Elődeitől eltérően ez az új változat az RC4 algoritmus egyedi megvalósítását alkalmazza a PlugX visszafejtésére, eltérve a Windows Cryptsp.dll könyvtár korábbi verzióiban használt hagyományos használatától.
