DOPLUGS Backdoor
Mustang Panda, un actor de amenințări cu legături cu China, a folosit o variantă personalizată a ușii din spate PlugX (cunoscută și sub numele de Korplug ), denumită DOPLUGS, pentru a viza mai multe națiuni asiatice. Această versiune adaptată a malware-ului PlugX diferă de varianta tipică prin lipsa unui modul de comandă complet integrat pentru ușă din spate; în schimb, este conceput special pentru descărcarea ultimului modul. Accentul principal al atacurilor DOPLUGS a fost asupra țintelor situate în Taiwan și Vietnam, cu apariții mai mici în Hong Kong, India, Japonia, Malaezia, Mongolia și chiar China.
Se crede că Mustang Panda este activ de mai bine de un deceniu
Mustang Panda, cunoscut și sub diferite pseudonime, cum ar fi BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 și TEMP.Hex se bazează în mare măsură pe utilizarea PlugX ca instrument principal. . Acest actor de amenințare este activ cel puțin din 2012, deși activitățile sale au câștigat atenția publicului în 2017.
Modul de operare al lui Mustang Panda implică executarea de campanii de spear-phishing elaborate cu meticulozitate, menite să livreze o gamă de programe malware personalizate. Din 2018, actorul amenințării este cunoscut pentru a implementa propriile versiuni personalizate de PlugX, inclusiv RedDelta , Thor, Hodur și DOPLUGS (distribuite printr-o campanie numită SmugX).
Lanțurile de compromis orchestrate de Mustang Panda folosesc o serie de tactici sofisticate. Acestea includ utilizarea mesajelor de phishing ca mecanism de livrare pentru o încărcare utilă de primă etapă. Această sarcină utilă, în timp ce prezintă destinatarului un document momeală, despachetează în mod secret un executabil legitim, semnat, care este susceptibil de încărcare secundară a DLL. Această tehnică de încărcare laterală a DLL este apoi folosită pentru a încărca o bibliotecă de linkuri dinamice (DLL), care decriptează și execută malware PlugX.
Odată implementat, programul malware PlugX continuă să recupereze fie Poison Ivy Remote Access Troian (RAT) fie Cobalt Strike Beacon, stabilind o conexiune cu un server controlat de Mustang Panda. Această secvență complicată de acțiuni evidențiază natura avansată și persistentă a operațiunilor cibernetice ale Mustang Panda.
Backdoor-ul DOPLUGS este o nouă completare la arsenalul de malware al unui grup de criminali cibernetici
Observat inițial de cercetători în septembrie 2022, DOPLUGS funcționează ca un descărcator echipat cu patru comenzi distincte de tip backdoor. În special, una dintre aceste comenzi este concepută pentru a facilita descărcarea versiunii convenționale a programului malware PlugX.
Experții în securitate au detectat și variante ale DOPLUGS care încorporează un modul numit KillSomeOne . Acest plugin servește mai multor scopuri, inclusiv distribuirea de programe malware, colectarea de informații și furtul de documente prin unități USB.
Această variantă specială a DOPLUGS include o componentă suplimentară de lansare. Această componentă execută un executabil legitim, utilizând tehnici de încărcare laterală a DLL. În plus, acceptă funcționalități cum ar fi execuția comenzilor și descărcarea malware-ului din etapa următoare de pe un server controlat de actorul amenințării.
O variantă PlugX personalizată, care include modulul KillSomeOne, special conceput pentru propagare prin unități USB, a fost descoperită încă din ianuarie 2020 de cercetătorii Infosec. Malware-ul a fost implementat ca parte a unei serii de atacuri care vizează Hong Kong și Vietnam.
La sfârșitul anului 2023, a fost scoasă la lumină o campanie Mustang Panda care vizează entitățile politice, diplomatice și guvernamentale din Taiwan care utilizează DOPLUGS. Operația de atac a afișat o caracteristică distinctivă - DLL-ul dăunător a fost creat folosind limbajul de programare Nim. Spre deosebire de predecesorii săi, această nouă variantă folosește o implementare unică a algoritmului RC4 pentru decriptarea PlugX, divergând de la utilizarea convențională a bibliotecii Windows Cryptsp.dll în versiunile anterioare.
