Perisian Hasad PLUGGYAPE
Pasukan Tindak Balas Kecemasan Komputer Ukraine (CERT-UA) telah mendedahkan gelombang baharu operasi siber yang disasarkan kepada entiti pertahanan negara. Serangan ini, yang diperhatikan antara Oktober dan Disember 2025, melibatkan sejenis perisian hasad yang sebelum ini tidak didokumenkan yang digelar PLUGGYAPE. Kempen ini mengetengahkan evolusi berterusan dalam kedua-dua taktik kejuruteraan sosial dan kecanggihan teknikal yang ditujukan terhadap sasaran Ukraine.
Isi kandungan
Profil Pelakon Atribusi dan Ancaman
Aktiviti ini telah dikaitkan, dengan keyakinan sederhana, dengan kumpulan penggodam yang bersekutu dengan Rusia yang dikenali sebagai Void Blizzard, juga dirujuk sebagai Laundry Bear atau UAC-0190. Penilaian risikan menunjukkan kumpulan itu telah aktif sekurang-kurangnya sejak April 2024. Operasi mereka baru-baru ini menunjukkan minat yang tertumpu dalam persekitaran berkaitan ketenteraan dan pertahanan.
Kejuruteraan Sosial di Teras Akses Awal
Rantaian jangkitan bermula bukan dengan eksploitasi, tetapi dengan penipuan. Pelaku ancaman memulakan hubungan melalui platform pesanan segera yang dipercayai secara meluas seperti Signal dan WhatsApp. Menyamar sebagai wakil organisasi amal, mereka memujuk mangsa untuk membuka pautan yang menuju ke laman web kemanusiaan palsu, termasuk domain seperti harthulp-ua.com dan solidarity-help.org. Laman-laman ini menyamar sebagai yayasan yang sah dan mengehos arkib yang dilindungi kata laluan yang mengandungi muatan berniat jahat.
Penyerang semakin bergantung pada akaun yang dikompromi atau disediakan secara meyakinkan yang berkaitan dengan pengendali mudah alih Ukraine. Komunikasi dijalankan dalam bahasa Ukraine dan mungkin termasuk panggilan suara atau video. Dalam banyak kes, pihak musuh menunjukkan keakraban yang terperinci dengan latar belakang, organisasi dan konteks operasi mangsa, sekali gus meningkatkan kejayaan usaha kejuruteraan sosial dengan ketara.
Di dalam PLUGGYAPE: Keupayaan dan Evolusi Perisian Hasad
Arkib yang dimuat turun menggunakan perisian boleh laku yang dibina dengan PyInstaller, yang memasang pintu belakang PLUGGYAPE. Ditulis dalam Python, perisian hasad ini membolehkan pengendali menjalankan kod sewenang-wenangnya dari jauh pada sistem yang dijangkiti. Lama-kelamaan, varian yang lebih baharu telah menggabungkan teknik pengeliruan yang lebih kukuh dan mekanisme anti-analisis yang direka untuk mencegah pelaksanaan dalam persekitaran maya atau penyelidikan.
PLUGGYAPE berkomunikasi dengan pengendalinya menggunakan sambungan WebSocket dan, sehingga Disember 2025, turut menyokong protokol MQTT, mengembangkan fleksibiliti dan daya tahannya. Saluran komunikasi ini membolehkan kawalan berterusan ke atas hos yang dikompromi dan memudahkan tugasan pantas oleh penyerang.
Daya Tahan Perintah dan Kawalan dan Keselamatan Operasi
Daripada membenamkan alamat pelayan kawalan secara langsung dalam perisian hasad, pengendali mendapatkan titik akhir Perintah dan Kawalan daripada perkhidmatan tampal awam seperti rentry.co dan pastebin.com. Alamat ini disimpan dalam bentuk yang dikodkan base64, membolehkan penyerang menukar infrastruktur dengan cepat tanpa menggunakan semula perisian hasad. Pendekatan ini merumitkan usaha penghapusan dan meningkatkan kesinambungan operasi jika pelayan yang diketahui ditemui dan terganggu.
Peralihan Lebih Luas Ke Arah Penyampaian Ancaman Berasaskan Messenger
CERT-UA menekankan bahawa aplikasi pesanan popular pada peranti mudah alih dan komputer peribadi semakin pantas menjadi saluran utama untuk pengedaran ancaman siber. Kewujudannya di mana-mana, digabungkan dengan kepercayaan pengguna dan interaksi masa nyata, menjadikannya platform yang sangat berkesan untuk menyampaikan alat berniat jahat dan memanipulasi mangsa.
