Tylne drzwi DOPLUGS

Mustang Panda, ugrupowanie zagrażające powiązane z Chinami, wykorzystało dostosowany wariant backdoora PlugX (znanego również jako Korplug ), zwanego DOPLUGS, aby obrać za cel kilka krajów azjatyckich. Ta dostosowana wersja szkodliwego oprogramowania PlugX różni się od typowego wariantu brakiem w pełni zintegrowanego modułu poleceń backdoora; zamiast tego jest specjalnie zaprojektowany do pobierania tego ostatniego modułu. Ataki DOPLUGS skupiały się głównie na celach znajdujących się na Tajwanie i w Wietnamie, rzadziej w Hongkongu, Indiach, Japonii, Malezji, Mongolii, a nawet Chinach.

Uważa się, że Mustang Panda jest aktywny od ponad dekady

Mustang Panda, znany również pod różnymi pseudonimami, takimi jak BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 i TEMP.Hex w dużym stopniu opiera się na wykorzystaniu PlugX jako podstawowego narzędzia . Ten ugrupowanie zagrażające jest aktywne co najmniej od 2012 r., chociaż jego działania zwróciły uwagę opinii publicznej w 2017 r.

Sposób działania Mustanga Pandy polega na przeprowadzaniu skrupulatnie przygotowanych kampanii typu spear-phishing, których celem jest dostarczanie szeregu niestandardowego złośliwego oprogramowania. Od 2018 r. ugrupowanie zagrażające wdraża własne, dostosowane wersje PlugX, w tym RedDelta , Thor, Hodur i DOPLUGS (rozpowszechniane za pośrednictwem kampanii o nazwie SmugX).

Łańcuchy kompromisów zorganizowane przez Mustanga Pandę wykorzystują szereg wyrafinowanych taktyk. Obejmują one wykorzystywanie wiadomości phishingowych jako mechanizmu dostarczania ładunku pierwszego etapu. Ten ładunek, prezentując odbiorcy dokument-wabik, potajemnie rozpakowuje legalny, podpisany plik wykonywalny, który jest podatny na boczne ładowanie biblioteki DLL. Ta technika bocznego ładowania DLL jest następnie wykorzystywana do ładowania biblioteki dołączanej dynamicznie (DLL), która odszyfrowuje i uruchamia złośliwe oprogramowanie PlugX.

Po wdrożeniu szkodliwe oprogramowanie PlugX pobiera trojana zdalnego dostępu Poison Ivy (RAT) lub Cobalt Strike Beacon, nawiązując połączenie z serwerem kontrolowanym przez Mustang Panda. Ta skomplikowana sekwencja działań podkreśla zaawansowany i trwały charakter operacji cybernetycznych Mustang Panda.

Backdoor DOPLUGS to nowy dodatek do arsenału złośliwego oprogramowania grupy cyberprzestępczej

Po raz pierwszy zaobserwowany przez badaczy we wrześniu 2022 r. DOPLUGS działa jako narzędzie pobierające wyposażone w cztery różne polecenia typu backdoor. Warto zauważyć, że jedno z tych poleceń ma na celu ułatwienie pobierania konwencjonalnej wersji szkodliwego oprogramowania PlugX.

Eksperci ds. bezpieczeństwa wykryli także odmiany DOPLUGS zawierające moduł o nazwie KillSomeOne . Ta wtyczka służy wielu celom, w tym dystrybucji złośliwego oprogramowania, zbieraniu informacji i kradzieży dokumentów za pośrednictwem dysków USB.

Ten konkretny wariant DOPLUGS zawiera dodatkowy komponent uruchamiający. Ten komponent wykonuje legalny plik wykonywalny, wykorzystując techniki bocznego ładowania bibliotek DLL. Ponadto obsługuje takie funkcje, jak wykonywanie poleceń i pobieranie złośliwego oprogramowania następnego etapu z serwera kontrolowanego przez ugrupowanie zagrażające.

Stworzony na zamówienie wariant PlugX wyposażony w moduł KillSomeOne, zaprojektowany specjalnie do propagacji za pośrednictwem dysków USB, został odkryty już w styczniu 2020 r. przez badaczy firmy Infosec. Szkodnik został zastosowany w ramach serii ataków na Hongkong i Wietnam.

Pod koniec 2023 roku wyszła na światło dzienne kampania Mustang Panda skierowana do tajwańskich podmiotów politycznych, dyplomatycznych i rządowych wykorzystujących DOPLUGS. Operacja ataku wykazywała charakterystyczną cechę — szkodliwa biblioteka DLL została utworzona przy użyciu języka programowania Nim. W przeciwieństwie do swoich poprzedników, ten nowy wariant wykorzystuje unikalną implementację algorytmu RC4 do odszyfrowywania PlugX, odbiegając od konwencjonalnego wykorzystania biblioteki Windows Cryptsp.dll w poprzednich wersjach.