DOPLUGS Galinės durys

„Mustang Panda“, grėsmės veikėjas, turintis ryšių su Kinija, panaudojo pritaikytą „PlugX“ (taip pat žinomo kaip „Korplug “) užpakalinių durų variantą, vadinamą DOPLUGS, kad būtų nukreiptas į kelias Azijos šalis. Ši pritaikyta PlugX kenkėjiškos programos versija skiriasi nuo įprasto varianto, nes joje nėra visiškai integruoto užpakalinių durų komandų modulio; vietoj to jis specialiai sukurtas pastarajam moduliui atsisiųsti. Pagrindinis DOPLUGS atakų dėmesys buvo sutelktas į taikinius, esančius Taivane ir Vietname, mažiau atvejų Honkonge, Indijoje, Japonijoje, Malaizijoje, Mongolijoje ir net Kinijoje.

Manoma, kad Mustang Panda buvo aktyvi daugiau nei dešimtmetį

Mustang Panda, taip pat žinomas įvairiais slapyvardžiais, tokiais kaip BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 ir TEMP.Hex labai priklauso nuo PlugX naudojimo kaip pagrindinio įrankio . Šis grėsmės veikėjas aktyviai veikia mažiausiai nuo 2012 m., nors visuomenės dėmesio jo veikla sulaukė 2017 m.

„Mustang Panda“ veikimo būdas apima kruopščiai parengtas sukčiavimo „spear-phishing“ kampanijas, skirtas įvairioms tinkintoms kenkėjiškoms programoms pristatyti. Nuo 2018 m. buvo žinoma, kad grėsmės veikėjas diegia savo pritaikytas „PlugX“ versijas, įskaitant „ RedDelta“ , „Thor“, „Hodur“ ir „DOPLUGS“ (platinamos per kampaniją „SmugX“).

Kompromisinės grandinės, kurias suorganizavo Mustang Panda, naudoja daugybę sudėtingų taktikos. Tai apima sukčiavimo pranešimų naudojimą kaip pirmojo etapo naudingojo krovinio pristatymo mechanizmą. Šis naudingas krovinys, pateikdamas apgaulės dokumentą gavėjui, slapta išpakuoja teisėtą, pasirašytą vykdomąjį failą, kuris yra jautrus DLL šoniniam įkėlimui. Tada ši DLL šoninio įkėlimo technika naudojama įkelti dinaminės nuorodos biblioteką (DLL), kuri iššifruoja ir vykdo „PlugX“ kenkėjišką programą.

Įdiegta „PlugX“ kenkėjiška programa nuskaito „Poison Ivy Remote Access Trojan“ (RAT) arba „Cobalt Strike Beacon“ ir užmezga ryšį su „Mustang Panda“ valdomu serveriu. Ši sudėtinga veiksmų seka pabrėžia pažangų ir nuolatinį Mustang Panda kibernetinių operacijų pobūdį.

DOPLUGS Backdoor yra naujas priedas prie kibernetinių nusikaltėlių grupės kenkėjiškų programų arsenalo

Iš pradžių mokslininkai pastebėjo 2022 m. rugsėjo mėn., DOPLUGS veikia kaip atsisiuntimo programa, aprūpinta keturiomis skirtingomis užpakalinių durų komandomis. Pažymėtina, kad viena iš šių komandų skirta palengvinti įprastos „PlugX“ kenkėjiškos programos versijos atsisiuntimą.

Saugumo ekspertai taip pat aptiko DOPLUGS variantų, kuriuose yra modulis pavadinimu KillSomeOne . Šis papildinys skirtas įvairiems tikslams, įskaitant kenkėjiškų programų platinimą, informacijos rinkimą ir dokumentų vagystę per USB diskus.

Šiame konkrečiame DOPLUGS variante yra papildomas paleidimo komponentas. Šis komponentas vykdo teisėtą vykdomąjį failą, naudodamas DLL šoninio įkėlimo metodus. Be to, ji palaiko tokias funkcijas kaip komandų vykdymas ir naujos pakopos kenkėjiškų programų atsisiuntimas iš serverio, kurį valdo grėsmės veikėjas.

Pagal užsakymą pagamintas PlugX variantas su „KillSomeOne“ moduliu, specialiai sukurtas platinti per USB diskus, buvo atskleistas dar 2020 m. sausio mėn. infosec tyrėjų. Kenkėjiška programa buvo įdiegta kaip dalis atakų, nukreiptų į Honkongą ir Vietnamą.

2023 m. pabaigoje buvo paskelbta Mustang Panda kampanija, skirta Taivano politiniams, diplomatiniams ir vyriausybiniams subjektams, naudojantiems DOPLUGS. Atakos operacija pasižymėjo išskirtine savybe – žalingas DLL buvo sukurtas naudojant Nim programavimo kalbą. Skirtingai nuo pirmtakų, šiame naujajame variante naudojamas unikalus PlugX iššifravimo RC4 algoritmo įgyvendinimas, kuris skiriasi nuo įprasto Windows Cryptsp.dll bibliotekos naudojimo ankstesnėse versijose.