DOPLUGS Bakdør

Mustang Panda, en trusselaktør med bånd til Kina, har brukt en tilpasset variant av PlugX (også kjent som Korplug ) bakdør, referert til som DOPLUGS, for å målrette mot flere asiatiske nasjoner. Denne skreddersydde versjonen av PlugX malware skiller seg fra den typiske varianten ved å mangle en fullt integrert bakdørs kommandomodul; i stedet er den spesielt utviklet for å laste ned den siste modulen. Hovedfokuset for DOPLUGS-angrep har vært på mål i Taiwan og Vietnam, med mindre forekomster i Hong Kong, India, Japan, Malaysia, Mongolia og til og med Kina.

Mustang Panda antas å ha vært aktiv i mer enn et tiår

Mustang Panda, også kjent under forskjellige aliaser, som BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 og TEMP.Hex er sterkt avhengig av bruken av PlugX som et kjerneverktøy . Denne trusselaktøren har vært aktiv siden minst 2012, selv om dens aktiviteter fikk offentlig oppmerksomhet i 2017.

Modusen til Mustang Panda innebærer å utføre omhyggelig utformede spyd-phishing-kampanjer designet for å levere en rekke tilpasset skadelig programvare. Siden 2018 har trusselaktøren vært kjent for å distribuere sine egne tilpassede versjoner av PlugX, inkludert RedDelta , Thor, Hodur og DOPLUGS (distribuert gjennom en kampanje kalt SmugX).

Kompromisskjedene orkestrert av Mustang Panda bruker en rekke sofistikerte taktikker. Disse inkluderer bruk av phishing-meldinger som en leveringsmekanisme for en nyttelast i første trinn. Denne nyttelasten, mens den presenterer et lokkedokument for mottakeren, pakker i det skjulte ut en legitim, signert kjørbar fil som er mottakelig for DLL-sideinnlasting. Denne DLL-sideinnlastingsteknikken brukes deretter til å laste et dynamisk lenkebibliotek (DLL), som dekrypterer og kjører PlugX-malware.

Når den er distribuert, fortsetter PlugX malware å hente enten Poison Ivy Remote Access Trojan (RAT) eller Cobalt Strike Beacon, og etablerer en forbindelse med en server kontrollert av Mustang Panda. Denne intrikate sekvensen av handlinger fremhever den avanserte og vedvarende naturen til Mustang Pandas cyberoperasjoner.

DOPLUGS-bakdøren er et nytt tillegg til malware-arsenalet til en nettkriminell gruppe

Opprinnelig observert av forskere i september 2022, fungerer DOPLUGS som en nedlaster utstyrt med fire distinkte bakdørskommandoer. Spesielt er en av disse kommandoene designet for å lette nedlastingen av den konvensjonelle versjonen av PlugX malware.

Sikkerhetseksperter har også oppdaget varianter av DOPLUGS som inneholder en modul kalt KillSomeOne . Denne plugin-en tjener flere formål, inkludert distribusjon av skadelig programvare, innsamling av informasjon og tyveri av dokumenter via USB-stasjoner.

Denne spesielle varianten av DOPLUGS inkluderer en ekstra launcher-komponent. Denne komponenten kjører en legitim kjørbar, ved å bruke DLL-sidelastingsteknikker. Videre støtter den funksjoner som kommandoutførelse og nedlasting av neste trinn av malware fra en server kontrollert av trusselaktøren.

En skreddersydd PlugX-variant med KillSomeOne-modulen, spesielt designet for forplantning gjennom USB-stasjoner, ble avdekket allerede i januar 2020 av infosec-forskere. Skadevaren ble distribuert som en del av en rekke angrep rettet mot Hong Kong og Vietnam.

På slutten av 2023 ble en Mustang Panda-kampanje rettet mot taiwanske politiske, diplomatiske og statlige enheter som brukte DOPLUGS brakt frem i lyset. Angrepsoperasjonen viste en særegen egenskap - den skadelige DLL-en ble laget ved hjelp av programmeringsspråket Nim. I motsetning til forgjengerne, bruker denne nye varianten en unik implementering av RC4-algoritmen for dekryptering av PlugX, som avviker fra den konvensjonelle bruken av Windows Cryptsp.dll-biblioteket i tidligere versjoner.