DOPLUGS Pintu Belakang
Mustang Panda, pelakon ancaman yang mempunyai hubungan dengan China, telah menggunakan varian tersuai bagi pintu belakang PlugX (juga dikenali sebagai Koplug ), yang dirujuk sebagai DOPLUGS, untuk menyasarkan beberapa negara Asia. Versi perisian hasad PlugX yang disesuaikan ini berbeza daripada varian biasa dengan kekurangan modul arahan pintu belakang bersepadu sepenuhnya; sebaliknya, ia direka khusus untuk memuat turun modul yang terakhir. Tumpuan utama serangan DOPLUGS adalah pada sasaran yang terletak di Taiwan dan Vietnam, dengan kejadian yang lebih sedikit di Hong Kong, India, Jepun, Malaysia, Mongolia dan juga China.
Mustang Panda Dipercayai Aktif Lebih Sedekad
Mustang Panda, juga dikenali dengan pelbagai alias, seperti BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 dan TEMP.Hex sangat bergantung pada penggunaan PlugX sebagai alat teras. . Aktor ancaman ini telah aktif sejak sekurang-kurangnya 2012, walaupun aktivitinya mendapat perhatian umum pada 2017.
Modus operandi Mustang Panda melibatkan pelaksanaan kempen pancingan lembing yang direka dengan teliti untuk menyampaikan pelbagai perisian hasad tersuai. Sejak 2018, pelakon ancaman itu diketahui menggunakan versi PlugX tersuainya sendiri, termasuk RedDelta , Thor, Hodur dan DOPLUGS (diedarkan melalui kempen bernama SmugX).
Rangkaian kompromi yang didalangi oleh Mustang Panda menggunakan satu siri taktik yang canggih. Ini termasuk menggunakan mesej pancingan data sebagai mekanisme penghantaran untuk muatan peringkat pertama. Muatan ini, semasa membentangkan dokumen tipu daya kepada penerima, secara diam-diam membongkar boleh laku bertanda yang sah yang terdedah kepada pemuatan sisi DLL. Teknik pemuatan sisi DLL ini kemudiannya digunakan untuk memuatkan perpustakaan pautan dinamik (DLL), yang menyahsulit dan melaksanakan perisian hasad PlugX.
Setelah digunakan, perisian hasad PlugX meneruskan untuk mendapatkan sama ada Poison Ivy Remote Access Trojan (RAT) atau Cobalt Strike Beacon, mewujudkan sambungan dengan pelayan yang dikawal oleh Mustang Panda. Urutan tindakan yang rumit ini menyerlahkan sifat maju dan berterusan operasi siber Mustang Panda.
Pintu Belakang DOPLUGS ialah Tambahan Baharu kepada Malware Arsenal Kumpulan Penjenayah Siber
Pada mulanya diperhatikan oleh penyelidik pada September 2022, DOPLUGS berfungsi sebagai pemuat turun yang dilengkapi dengan empat arahan pintu belakang yang berbeza. Terutama, salah satu daripada arahan ini direka untuk memudahkan muat turun versi konvensional perisian hasad PlugX.
Pakar keselamatan juga telah mengesan variasi DOPLUGS yang menggabungkan modul yang dipanggil KillSomeOne . Pemalam ini mempunyai pelbagai tujuan, termasuk pengedaran perisian hasad, pengumpulan maklumat dan kecurian dokumen melalui pemacu USB.
Varian khusus DOPLUGS ini termasuk komponen pelancar tambahan. Komponen ini melaksanakan boleh laku yang sah, menggunakan teknik pemuatan sisi DLL. Tambahan pula, ia menyokong fungsi seperti pelaksanaan perintah dan memuat turun perisian hasad peringkat seterusnya daripada pelayan yang dikawal oleh pelaku ancaman.
Varian PlugX tersuai yang menampilkan modul KillSomeOne, yang direka khusus untuk penyebaran melalui pemacu USB, telah ditemui seawal Januari 2020 oleh penyelidik infosec. Malware itu digunakan sebagai sebahagian daripada siri serangan yang menyasarkan Hong Kong dan Vietnam.
Pada penghujung tahun 2023, kempen Mustang Panda yang bertujuan untuk entiti politik, diplomatik dan kerajaan Taiwan yang menggunakan DOPLUGS telah didedahkan. Operasi serangan memaparkan ciri tersendiri - DLL yang berbahaya telah dibuat menggunakan bahasa pengaturcaraan Nim. Tidak seperti pendahulunya, varian baharu ini menggunakan pelaksanaan unik algoritma RC4 untuk menyahsulit PlugX, menyimpang daripada penggunaan konvensional perpustakaan Windows Cryptsp.dll dalam versi sebelumnya.
