DOPLUGS Backdoor

រថយន្ត Mustang Panda ដែលជាតួអង្គគម្រាមកំហែងដែលមានទំនាក់ទំនងជាមួយប្រទេសចិនបានប្រើប្រាស់នូវប្រភេទ PlugX (ដែលគេស្គាល់ថាជា Korplug ) backdoor ដែលហៅថា DOPLUGS ដើម្បីកំណត់គោលដៅប្រទេសអាស៊ីមួយចំនួន។ កំណែដែលបានកែសម្រួលនៃមេរោគ PlugX នេះខុសពីវ៉ារ្យ៉ង់ធម្មតាដោយខ្វះម៉ូឌុលពាក្យបញ្ជា backdoor រួមបញ្ចូលគ្នាយ៉ាងពេញលេញ។ ជំនួសមកវិញ វាត្រូវបានរចនាឡើងជាពិសេសសម្រាប់ការទាញយកម៉ូឌុលចុងក្រោយ។ ការផ្តោតចម្បងនៃការវាយប្រហារ DOPLUGS គឺទៅលើគោលដៅដែលមានទីតាំងនៅតៃវ៉ាន់ និងវៀតណាម ដោយមានការកើតឡើងតិចជាងនៅក្នុងទីក្រុងហុងកុង ឥណ្ឌា ជប៉ុន ម៉ាឡេស៊ី ម៉ុងហ្គោលី និងសូម្បីតែប្រទេសចិន។

Mustang Panda ត្រូវ​បាន​គេ​ជឿ​ថា​មាន​សកម្មភាព​ជាង​មួយ​ទសវត្សរ៍

រថយន្ត Mustang Panda ដែលត្រូវបានគេស្គាល់ផងដែរដោយឈ្មោះក្លែងក្លាយផ្សេងៗដូចជា BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416, និង TEMP.Hex ពឹងផ្អែកយ៉ាងខ្លាំងលើការប្រើប្រាស់ PlugX ជាឧបករណ៍ស្នូល។ . តួអង្គគំរាមកំហែងនេះបានសកម្មតាំងពីឆ្នាំ 2012 មកម្ល៉េះ ទោះបីជាសកម្មភាពរបស់ខ្លួនទទួលបានការចាប់អារម្មណ៍ជាសាធារណៈនៅឆ្នាំ 2017 ក៏ដោយ។

ដំណើរការ modus នៃ Mustang Panda ពាក់ព័ន្ធនឹងការប្រតិបត្តិយុទ្ធនាការ spear-phishing ដែលផលិតយ៉ាងល្អិតល្អន់ ដែលត្រូវបានរចនាឡើងដើម្បីផ្តល់នូវមេរោគផ្ទាល់ខ្លួនជាច្រើន។ ចាប់តាំងពីឆ្នាំ 2018 មក តួអង្គគំរាមកំហែងត្រូវបានគេដឹងថាដាក់ពង្រាយកំណែផ្ទាល់ខ្លួនរបស់ PlugX រួមទាំង RedDelta , Thor , Hodur និង DOPLUGS (ចែកចាយតាមរយៈយុទ្ធនាការដែលមានឈ្មោះថា SmugX)។

ខ្សែសង្វាក់សម្របសម្រួលដែលរៀបចំឡើងដោយរថយន្ត Mustang Panda ប្រើយុទ្ធសាស្ត្រទំនើបៗជាបន្តបន្ទាប់។ ទាំងនេះរួមបញ្ចូលការប្រើប្រាស់សារបន្លំជាយន្តការបញ្ជូនសម្រាប់បន្ទុកដំណាក់កាលដំបូង។ បន្ទុកនេះ ខណៈពេលដែលបង្ហាញឯកសារបញ្ឆិតបញ្ឆៀងទៅកាន់អ្នកទទួល លាក់បាំងនូវឯកសារដែលអាចប្រតិបត្តិបានដែលចុះហត្ថលេខាដោយស្របច្បាប់ ដែលងាយនឹងការផ្ទុកចំហៀង DLL ។ បច្ចេកទេសផ្ទុកចំហៀង DLL នេះត្រូវបានប្រើប្រាស់ដើម្បីផ្ទុក dynamic-link library (DLL) ដែលឌិគ្រីប និងប្រតិបត្តិមេរោគ PlugX ។

នៅពេលដែលត្រូវបានដាក់ពង្រាយ មេរោគ PlugX បន្តទៅយក Poison Ivy Remote Access Trojan (RAT) ឬ Cobalt Strike Beacon ដោយបង្កើតការតភ្ជាប់ជាមួយម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយ Mustang Panda ។ លំដាប់នៃសកម្មភាពដ៏ស្មុគស្មាញនេះបង្ហាញពីលក្ខណៈកម្រិតខ្ពស់ និងជាប់លាប់នៃប្រតិបត្តិការអ៊ីនធឺណិតរបស់ Mustang Panda ។

DOPLUGS Backdoor គឺជាការបន្ថែមថ្មីទៅកាន់ Malware Arsenal នៃក្រុមឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត

សង្កេតឃើញដំបូងដោយក្រុមអ្នកស្រាវជ្រាវនៅខែកញ្ញា ឆ្នាំ 2022 DOPLUGS មានមុខងារជាអ្នកទាញយកដែលបំពាក់ដោយពាក្យបញ្ជា backdoor ផ្សេងគ្នាចំនួនបួន។ គួរកត់សម្គាល់ថាពាក្យបញ្ជាមួយក្នុងចំណោមពាក្យបញ្ជាទាំងនេះត្រូវបានរចនាឡើងដើម្បីជួយសម្រួលដល់ការទាញយកកំណែធម្មតានៃមេរោគ PlugX ។

អ្នកជំនាញផ្នែកសន្តិសុខក៏បានរកឃើញការប្រែប្រួលនៃ DOPLUGS ដែលរួមបញ្ចូលម៉ូឌុលមួយដែលមានឈ្មោះថា KillSomeOne ។ កម្មវិធីជំនួយនេះបម្រើគោលបំណងជាច្រើន រួមទាំងការចែកចាយមេរោគ ការប្រមូលព័ត៌មាន និងការលួចឯកសារតាមរយៈ USB drives។

វ៉ារ្យ៉ង់ពិសេសនៃ DOPLUGS នេះរួមបញ្ចូលទាំងសមាសភាគកម្មវិធីបើកដំណើរការបន្ថែម។ សមាសភាគនេះអនុវត្តការប្រតិបត្តិស្របច្បាប់ដោយប្រើប្រាស់បច្ចេកទេសផ្ទុកចំហៀង DLL ។ លើសពីនេះ វាគាំទ្រមុខងារដូចជាការប្រតិបត្តិពាក្យបញ្ជា និងការទាញយកមេរោគដំណាក់កាលបន្ទាប់ពីម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយតួអង្គគំរាមកំហែង។

វ៉ារ្យ៉ង់ PlugX ដែលផលិតដោយខ្លួនឯងដែលមានម៉ូឌុល KillSomeOne ដែលត្រូវបានរចនាឡើងជាពិសេសសម្រាប់ការផ្សព្វផ្សាយតាមរយៈដ្រាយ USB ត្រូវបានរកឃើញនៅដើមខែមករាឆ្នាំ 2020 ដោយអ្នកស្រាវជ្រាវ infosec ។ មេរោគនេះត្រូវបានដាក់ពង្រាយជាផ្នែកនៃការវាយប្រហារជាបន្តបន្ទាប់ដែលផ្តោតលើហុងកុង និងវៀតណាម។

នៅចុងឆ្នាំ 2023 យុទ្ធនាការ Mustang Panda សំដៅទៅលើស្ថាប័ននយោបាយ ការទូត និងរដ្ឋាភិបាលរបស់តៃវ៉ាន់ដែលប្រើប្រាស់ DOPLUGS ត្រូវបានបំភ្លឺ។ ប្រតិបត្តិការវាយប្រហារបានបង្ហាញពីលក្ខណៈប្លែកមួយ - DLL ដែលបង្កគ្រោះថ្នាក់ត្រូវបានបង្កើតដោយប្រើភាសាសរសេរកម្មវិធី Nim ។ មិនដូចអ្នកកាន់តំណែងមុនរបស់វាទេ វ៉ារ្យ៉ង់ថ្មីនេះប្រើការអនុវត្តន៍តែមួយគត់នៃក្បួនដោះស្រាយ RC4 សម្រាប់ការឌិគ្រីប PlugX ដោយខុសពីការប្រើប្រាស់ធម្មតានៃបណ្ណាល័យ Windows Cryptsp.dll នៅក្នុងកំណែមុន។