DOPLUGS ब्याकडोर

मुस्ताङ पाण्डा, चीनसँगको सम्बन्ध भएको खतरा अभिनेताले धेरै एसियाली राष्ट्रहरूलाई लक्षित गर्न PlugX ( Korplug को रूपमा पनि चिनिन्छ) ब्याकडोर, DOPLUGS भनेर चिनिने एक अनुकूलित संस्करण प्रयोग गरेको छ। PlugX मालवेयरको यो अनुकूलित संस्करण पूर्ण रूपमा एकीकृत ब्याकडोर कमाण्ड मोड्युलको अभावमा सामान्य संस्करणबाट भिन्न हुन्छ; यसको सट्टा, यो विशेष गरी पछिल्लो मोड्युल डाउनलोड गर्नको लागि डिजाइन गरिएको हो। हङकङ, भारत, जापान, मलेसिया, मंगोलिया र चीनमा पनि कम घटना भएकाले DOPLUGS आक्रमणको प्राथमिक फोकस ताइवान र भियतनाममा रहेका लक्ष्यहरूमा रहेको छ।

मुस्ताङ पाण्डा एक दशकभन्दा बढी समयदेखि सक्रिय रहेको विश्वास गरिन्छ

Mustang Panda, BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416, र TEMP जस्ता विभिन्न उपनामहरू द्वारा पनि चिनिन्छ। हेक्स मुख्य उपकरणको रूपमा PlugX को प्रयोगमा धेरै निर्भर छ। । यो खतरा अभिनेता कम्तिमा 2012 देखि सक्रिय छ, यद्यपि यसको गतिविधिले 2017 मा सार्वजनिक ध्यान प्राप्त गर्यो।

मुस्ताङ पाण्डाको मोडस अपरेन्डीमा कस्टम मालवेयरको दायरा डेलिभर गर्न डिजाइन गरिएको सावधानीपूर्वक बनाइएको भाला-फिसिङ अभियानहरू कार्यान्वयन गर्ने समावेश छ। 2018 देखि, खतरा अभिनेता RedDelta , Thor, Hodur र DOPLUGS (SmugX नामको अभियान मार्फत वितरित) सहित प्लगएक्सको आफ्नै अनुकूलित संस्करणहरू प्रयोग गर्न परिचित छ।

मुस्ताङ पाण्डाद्वारा सञ्चालित सम्झौता चेनहरूले परिष्कृत रणनीतिहरूको एक श्रृंखला प्रयोग गर्दछ। यसमा पहिलो चरणको पेलोडको लागि वितरण संयन्त्रको रूपमा फिसिङ सन्देशहरू प्रयोग गर्ने समावेश छ। यो पेलोडले प्रापकलाई डिकोय कागजात प्रस्तुत गर्दा, गोप्य रूपमा DLL साइड-लोडिङको लागि अतिसंवेदनशील वैध, हस्ताक्षर गरिएको कार्यान्वयनयोग्य अनप्याक गर्दछ। यो DLL साइड-लोडिङ प्रविधिलाई डायनामिक-लिङ्क लाइब्रेरी (DLL) लोड गर्न प्रयोग गरिन्छ, जसले PlugX मालवेयरलाई डिक्रिप्ट र कार्यान्वयन गर्छ।

एक पटक तैनात भएपछि, PlugX मालवेयरले Poison Ivy Remote Access Trojan (RAT) वा कोबाल्ट स्ट्राइक बीकन पुन: प्राप्त गर्न अगाडि बढ्छ, Mustang Panda द्वारा नियन्त्रित सर्भरसँग जडान स्थापना गर्दछ। कार्यहरूको यो जटिल अनुक्रमले मुस्ताङ पाण्डाको साइबर सञ्चालनको उन्नत र निरन्तर प्रकृतिलाई हाइलाइट गर्दछ।

DOPLUGS ब्याकडोर साइबर क्रिमिनल समूहको मालवेयर आर्सेनलमा नयाँ थपिएको छ।

प्रारम्भिक रूपमा सेप्टेम्बर 2022 मा अन्वेषकहरूले अवलोकन गरे, DOPLUGS ले चार फरक ब्याकडोर आदेशहरूसँग सुसज्जित डाउनलोडरको रूपमा कार्य गर्दछ। उल्लेखनीय रूपमा, यी आदेशहरू मध्ये एउटा PlugX मालवेयरको परम्परागत संस्करणको डाउनलोडलाई सुविधा दिन डिजाइन गरिएको हो।

सुरक्षा विशेषज्ञहरूले KillSomeOne भनिने मोड्युल समावेश गर्ने DOPLUGS को भिन्नताहरू पनि पत्ता लगाएका छन्। यो प्लगइनले मालवेयरको वितरण, जानकारी सङ्कलन, र USB ड्राइभहरू मार्फत कागजातहरूको चोरी सहित बहु उद्देश्यहरू सेवा गर्दछ।

DOPLUGS को यो विशेष संस्करणमा अतिरिक्त लन्चर कम्पोनेन्ट समावेश छ। यो कम्पोनेन्टले वैध कार्यान्वयन योग्य, DLL साइड-लोडिङ प्रविधिहरू प्रयोग गरी कार्यान्वयन गर्दछ। यसबाहेक, यसले कमाण्ड कार्यान्वयन र खतरा अभिनेताद्वारा नियन्त्रित सर्भरबाट अर्को चरणको मालवेयर डाउनलोड गर्ने जस्ता कार्यक्षमताहरूलाई समर्थन गर्दछ।

KillSomeOne मोड्युल, विशेष गरी USB ड्राइभहरू मार्फत प्रचारको लागि डिजाइन गरिएको, विशेष रूपमा निर्मित PlugX संस्करण जनवरी २०२० मा इन्फोसेक अनुसन्धानकर्ताहरूले पत्ता लगाएको थियो। मालवेयर हङकङ र भियतनामलाई लक्षित गरी आक्रमणको शृंखलाको एक भागको रूपमा प्रयोग गरिएको थियो।

2023 को अन्त्यमा, DOPLUGS प्रयोग गर्ने ताइवानी राजनीतिक, कूटनीतिक र सरकारी निकायहरूलाई लक्षित मुस्ताङ पाण्डा अभियान प्रकाशमा ल्याइयो। आक्रमण अपरेशनले एक विशिष्ट विशेषता प्रदर्शन गर्‍यो - हानिकारक DLL निम प्रोग्रामिङ भाषा प्रयोग गरेर बनाइएको थियो। यसका पूर्ववर्तीहरूको विपरीत, यो नयाँ संस्करणले PlugX डिक्रिप्ट गर्नको लागि RC4 एल्गोरिथ्मको एक अद्वितीय कार्यान्वयनलाई प्रयोग गर्दछ, अघिल्लो संस्करणहरूमा Windows Cryptsp.dll पुस्तकालयको परम्परागत प्रयोगबाट अलग हुँदै।