ਡੌਪਲਗਸ ਬੈਕਡੋਰ
ਮਸਟੈਂਗ ਪਾਂਡਾ, ਚੀਨ ਨਾਲ ਸਬੰਧਾਂ ਵਾਲਾ ਇੱਕ ਖ਼ਤਰਾ ਅਭਿਨੇਤਾ, ਨੇ ਕਈ ਏਸ਼ੀਆਈ ਦੇਸ਼ਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ, ਪਲੱਗਐਕਸ (ਜਿਸ ਨੂੰ ਕੋਰਪਲੱਗ ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ) ਬੈਕਡੋਰ ਦਾ ਇੱਕ ਅਨੁਕੂਲਿਤ ਰੂਪ ਲਗਾਇਆ ਹੈ, ਜਿਸਨੂੰ ਡੋਪਲਗਸ ਕਿਹਾ ਜਾਂਦਾ ਹੈ। PlugX ਮਾਲਵੇਅਰ ਦਾ ਇਹ ਅਨੁਕੂਲਿਤ ਸੰਸਕਰਣ ਇੱਕ ਪੂਰੀ ਤਰ੍ਹਾਂ ਏਕੀਕ੍ਰਿਤ ਬੈਕਡੋਰ ਕਮਾਂਡ ਮੋਡੀਊਲ ਦੀ ਘਾਟ ਕਰਕੇ ਆਮ ਰੂਪ ਤੋਂ ਵੱਖਰਾ ਹੈ; ਇਸ ਦੀ ਬਜਾਏ, ਇਹ ਖਾਸ ਤੌਰ 'ਤੇ ਬਾਅਦ ਵਾਲੇ ਮੋਡੀਊਲ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। DOPLUGS ਹਮਲਿਆਂ ਦਾ ਮੁੱਖ ਫੋਕਸ ਤਾਈਵਾਨ ਅਤੇ ਵੀਅਤਨਾਮ ਵਿੱਚ ਸਥਿਤ ਟੀਚਿਆਂ 'ਤੇ ਹੈ, ਹਾਂਗਕਾਂਗ, ਭਾਰਤ, ਜਾਪਾਨ, ਮਲੇਸ਼ੀਆ, ਮੰਗੋਲੀਆ ਅਤੇ ਇੱਥੋਂ ਤੱਕ ਕਿ ਚੀਨ ਵਿੱਚ ਘੱਟ ਘਟਨਾਵਾਂ ਦੇ ਨਾਲ।
ਮਸਟੈਂਗ ਪਾਂਡਾ ਨੂੰ ਇੱਕ ਦਹਾਕੇ ਤੋਂ ਵੱਧ ਸਮੇਂ ਤੋਂ ਸਰਗਰਮ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ
ਮਸਟੈਂਗ ਪਾਂਡਾ, ਜਿਸਨੂੰ ਵੱਖ-ਵੱਖ ਉਪਨਾਮਾਂ ਨਾਲ ਵੀ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਜਿਵੇਂ ਕਿ ਬੇਸਿਨ, ਕਾਂਸੀ ਪ੍ਰਧਾਨ, ਕੈਮਾਰੋ ਡਰੈਗਨ, ਅਰਥ ਪ੍ਰੀਟਾ, ਹਨੀਮਾਈਟ, ਰੈੱਡਡੇਲਟਾ, ਰੈੱਡ ਲਿਚ, ਸਟੇਟਲੀ ਟੌਰਸ, TA416, ਅਤੇ TEMP।Hex ਇੱਕ ਕੋਰ ਟੂਲ ਵਜੋਂ PlugX ਦੀ ਵਰਤੋਂ 'ਤੇ ਬਹੁਤ ਜ਼ਿਆਦਾ ਨਿਰਭਰ ਕਰਦਾ ਹੈ। . ਇਹ ਧਮਕੀ ਦੇਣ ਵਾਲਾ ਅਭਿਨੇਤਾ ਘੱਟੋ-ਘੱਟ 2012 ਤੋਂ ਸਰਗਰਮ ਹੈ, ਹਾਲਾਂਕਿ ਇਸ ਦੀਆਂ ਗਤੀਵਿਧੀਆਂ ਨੇ 2017 ਵਿੱਚ ਲੋਕਾਂ ਦਾ ਧਿਆਨ ਖਿੱਚਿਆ ਸੀ।
ਮਸਟੈਂਗ ਪਾਂਡਾ ਦੇ ਢੰਗ-ਤਰੀਕੇ ਵਿੱਚ ਕਸਟਮ ਮਾਲਵੇਅਰ ਦੀ ਇੱਕ ਸੀਮਾ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਬਰਛੇ-ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮਾਂ ਨੂੰ ਧਿਆਨ ਨਾਲ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। 2018 ਤੋਂ, ਧਮਕੀ ਦੇਣ ਵਾਲਾ ਅਭਿਨੇਤਾ PlugX ਦੇ ਆਪਣੇ ਖੁਦ ਦੇ ਅਨੁਕੂਲਿਤ ਸੰਸਕਰਣਾਂ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਲਈ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ RedDelta , Thor, Hodur ਅਤੇ DOPLUGS (SmugX ਨਾਮ ਦੀ ਇੱਕ ਮੁਹਿੰਮ ਦੁਆਰਾ ਵੰਡਿਆ ਗਿਆ) ਸ਼ਾਮਲ ਹਨ।
ਮਸਟੈਂਗ ਪਾਂਡਾ ਦੁਆਰਾ ਤਿਆਰ ਕੀਤੇ ਗਏ ਸਮਝੌਤਾ ਚੇਨ ਬਹੁਤ ਸਾਰੀਆਂ ਵਧੀਆ ਰਣਨੀਤੀਆਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ। ਇਹਨਾਂ ਵਿੱਚ ਪਹਿਲੀ-ਪੜਾਅ ਦੇ ਪੇਲੋਡ ਲਈ ਇੱਕ ਡਿਲੀਵਰੀ ਵਿਧੀ ਵਜੋਂ ਫਿਸ਼ਿੰਗ ਸੁਨੇਹਿਆਂ ਦੀ ਵਰਤੋਂ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ। ਇਹ ਪੇਲੋਡ, ਪ੍ਰਾਪਤਕਰਤਾ ਨੂੰ ਇੱਕ ਡੀਕੋਏ ਦਸਤਾਵੇਜ਼ ਪੇਸ਼ ਕਰਦੇ ਹੋਏ, ਗੁਪਤ ਰੂਪ ਵਿੱਚ ਇੱਕ ਜਾਇਜ਼, ਹਸਤਾਖਰਿਤ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਨੂੰ ਖੋਲ੍ਹਦਾ ਹੈ ਜੋ DLL ਸਾਈਡ-ਲੋਡਿੰਗ ਲਈ ਸੰਵੇਦਨਸ਼ੀਲ ਹੈ। ਇਹ DLL ਸਾਈਡ-ਲੋਡਿੰਗ ਤਕਨੀਕ ਫਿਰ ਇੱਕ ਡਾਇਨਾਮਿਕ-ਲਿੰਕ ਲਾਇਬ੍ਰੇਰੀ (DLL) ਨੂੰ ਲੋਡ ਕਰਨ ਲਈ ਵਰਤੀ ਜਾਂਦੀ ਹੈ, ਜੋ PlugX ਮਾਲਵੇਅਰ ਨੂੰ ਡੀਕ੍ਰਿਪਟ ਅਤੇ ਐਕਜ਼ੀਕਿਊਟ ਕਰਦੀ ਹੈ।
ਇੱਕ ਵਾਰ ਤੈਨਾਤ, PlugX ਮਾਲਵੇਅਰ ਜਾਂ ਤਾਂ Poison Ivy Remote Access Trojan (RAT) ਜਾਂ Cobalt Strike Beacon ਨੂੰ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਅੱਗੇ ਵਧਦਾ ਹੈ, Mustang Panda ਦੁਆਰਾ ਨਿਯੰਤਰਿਤ ਇੱਕ ਸਰਵਰ ਨਾਲ ਇੱਕ ਕਨੈਕਸ਼ਨ ਸਥਾਪਤ ਕਰਦਾ ਹੈ। ਕਾਰਵਾਈਆਂ ਦਾ ਇਹ ਗੁੰਝਲਦਾਰ ਕ੍ਰਮ ਮਸਟੈਂਗ ਪਾਂਡਾ ਦੇ ਸਾਈਬਰ ਕਾਰਜਾਂ ਦੀ ਉੱਨਤ ਅਤੇ ਨਿਰੰਤਰ ਪ੍ਰਕਿਰਤੀ ਨੂੰ ਉਜਾਗਰ ਕਰਦਾ ਹੈ।
DOPLUGS ਬੈਕਡੋਰ ਇੱਕ ਸਾਈਬਰ ਅਪਰਾਧੀ ਸਮੂਹ ਦੇ ਮਾਲਵੇਅਰ ਆਰਸਨਲ ਵਿੱਚ ਇੱਕ ਨਵਾਂ ਜੋੜ ਹੈ
ਸ਼ੁਰੂ ਵਿੱਚ ਸਤੰਬਰ 2022 ਵਿੱਚ ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਦੇਖਿਆ ਗਿਆ, DOPLUGS ਚਾਰ ਵੱਖ-ਵੱਖ ਬੈਕਡੋਰ ਕਮਾਂਡਾਂ ਨਾਲ ਲੈਸ ਇੱਕ ਡਾਊਨਲੋਡਰ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ। ਖਾਸ ਤੌਰ 'ਤੇ, ਇਹਨਾਂ ਕਮਾਂਡਾਂ ਵਿੱਚੋਂ ਇੱਕ ਨੂੰ PlugX ਮਾਲਵੇਅਰ ਦੇ ਰਵਾਇਤੀ ਸੰਸਕਰਣ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਦੀ ਸਹੂਲਤ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ।
ਸੁਰੱਖਿਆ ਮਾਹਿਰਾਂ ਨੇ DOPLUGS ਦੀਆਂ ਭਿੰਨਤਾਵਾਂ ਦਾ ਵੀ ਪਤਾ ਲਗਾਇਆ ਹੈ ਜੋ ਕਿ KillSomeOne ਨਾਮਕ ਇੱਕ ਮੋਡੀਊਲ ਨੂੰ ਸ਼ਾਮਲ ਕਰਦੇ ਹਨ। ਇਹ ਪਲੱਗਇਨ ਮਲਵੇਅਰ ਦੀ ਵੰਡ, ਜਾਣਕਾਰੀ ਦਾ ਸੰਗ੍ਰਹਿ, ਅਤੇ USB ਡਰਾਈਵਾਂ ਰਾਹੀਂ ਦਸਤਾਵੇਜ਼ਾਂ ਦੀ ਚੋਰੀ ਸਮੇਤ ਕਈ ਉਦੇਸ਼ਾਂ ਦੀ ਪੂਰਤੀ ਕਰਦੀ ਹੈ।
DOPLUGS ਦੇ ਇਸ ਖਾਸ ਰੂਪ ਵਿੱਚ ਇੱਕ ਵਾਧੂ ਲਾਂਚਰ ਕੰਪੋਨੈਂਟ ਸ਼ਾਮਲ ਹੈ। ਇਹ ਕੰਪੋਨੈਂਟ DLL ਸਾਈਡ-ਲੋਡਿੰਗ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ, ਇੱਕ ਜਾਇਜ਼ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਨੂੰ ਚਲਾਉਂਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਹ ਖ਼ਤਰੇ ਦੇ ਅਭਿਨੇਤਾ ਦੁਆਰਾ ਨਿਯੰਤਰਿਤ ਸਰਵਰ ਤੋਂ ਕਮਾਂਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਅਤੇ ਅਗਲੇ ਪੜਾਅ ਦੇ ਮਾਲਵੇਅਰ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਵਰਗੀਆਂ ਕਾਰਜਸ਼ੀਲਤਾਵਾਂ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ।
KillSomeOne ਮੋਡੀਊਲ ਦੀ ਵਿਸ਼ੇਸ਼ਤਾ ਵਾਲਾ ਇੱਕ ਕਸਟਮ-ਮੇਡ PlugX ਰੂਪ, ਖਾਸ ਤੌਰ 'ਤੇ USB ਡਰਾਈਵਾਂ ਦੁਆਰਾ ਪ੍ਰਸਾਰ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ, ਨੂੰ ਜਨਵਰੀ 2020 ਦੇ ਸ਼ੁਰੂ ਵਿੱਚ infosec ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਬੇਪਰਦ ਕੀਤਾ ਗਿਆ ਸੀ। ਮਾਲਵੇਅਰ ਨੂੰ ਹਾਂਗਕਾਂਗ ਅਤੇ ਵੀਅਤਨਾਮ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੇ ਹਮਲਿਆਂ ਦੀ ਲੜੀ ਦੇ ਹਿੱਸੇ ਵਜੋਂ ਤਾਇਨਾਤ ਕੀਤਾ ਗਿਆ ਸੀ।
2023 ਦੇ ਅੰਤ ਵਿੱਚ, ਤਾਈਵਾਨੀ ਰਾਜਨੀਤਿਕ, ਕੂਟਨੀਤਕ, ਅਤੇ ਸਰਕਾਰੀ ਸੰਸਥਾਵਾਂ ਨੂੰ ਡੌਪਲਗਸ ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੇ ਉਦੇਸ਼ ਨਾਲ ਇੱਕ ਮਸਟੈਂਗ ਪਾਂਡਾ ਮੁਹਿੰਮ ਨੂੰ ਪ੍ਰਕਾਸ਼ ਵਿੱਚ ਲਿਆਂਦਾ ਗਿਆ ਸੀ। ਹਮਲੇ ਦੀ ਕਾਰਵਾਈ ਨੇ ਇੱਕ ਵਿਲੱਖਣ ਵਿਸ਼ੇਸ਼ਤਾ ਪ੍ਰਦਰਸ਼ਿਤ ਕੀਤੀ - ਨੁਕਸਾਨਦੇਹ DLL ਨਿਮ ਪ੍ਰੋਗਰਾਮਿੰਗ ਭਾਸ਼ਾ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਸੀ। ਇਸਦੇ ਪੂਰਵਜਾਂ ਦੇ ਉਲਟ, ਇਹ ਨਵਾਂ ਰੂਪ PlugX ਨੂੰ ਡੀਕ੍ਰਿਪਟ ਕਰਨ ਲਈ RC4 ਐਲਗੋਰਿਦਮ ਦਾ ਇੱਕ ਵਿਲੱਖਣ ਲਾਗੂਕਰਨ ਲਾਗੂ ਕਰਦਾ ਹੈ, ਪਿਛਲੇ ਸੰਸਕਰਣਾਂ ਵਿੱਚ Windows Cryptsp.dll ਲਾਇਬ੍ਰੇਰੀ ਦੀ ਰਵਾਇਤੀ ਵਰਤੋਂ ਤੋਂ ਵੱਖ ਹੋ ਕੇ।
