ДОПЛУГС Бэкдор

Mustang Panda, злоумышленник, связанный с Китаем, использовал модифицированный вариант бэкдора PlugX (также известного как Korplug ), известный как DOPLUGS, для нападения на несколько азиатских стран. Эта адаптированная версия вредоносного ПО PlugX отличается от типичного варианта отсутствием полностью интегрированного командного модуля бэкдора; вместо этого он специально предназначен для загрузки последнего модуля. Основное внимание атак DOPLUGS было сосредоточено на целях, расположенных на Тайване и во Вьетнаме, реже в Гонконге, Индии, Японии, Малайзии, Монголии и даже Китае.

Считается, что Mustang Panda существует уже более десяти лет

Mustang Panda, также известный под различными псевдонимами, такими как BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 и TEMP.Hex, во многом полагается на использование PlugX в качестве основного инструмента. . Этот злоумышленник действует как минимум с 2012 года, хотя его деятельность привлекла внимание общественности в 2017 году.

Методика работы Mustang Panda предполагает проведение тщательно разработанных целевых фишинговых кампаний, предназначенных для доставки целого ряда специализированных вредоносных программ. Известно, что с 2018 года злоумышленник развертывает собственные версии PlugX, включая RedDelta , Thor, Hodur и DOPLUGS (распространяемые в рамках кампании SmugX).

Компромиссные цепочки, организованные Мустангом Пандой, используют ряд сложных тактик. К ним относится использование фишинговых сообщений в качестве механизма доставки полезной нагрузки первого этапа. Эта полезная нагрузка, предоставляя получателю ложный документ, тайно распаковывает законный подписанный исполняемый файл, который подвержен боковой загрузке DLL. Этот метод боковой загрузки DLL затем используется для загрузки библиотеки динамической компоновки (DLL), которая расшифровывает и запускает вредоносное ПО PlugX.

После развертывания вредоносное ПО PlugX приступает к извлечению либо трояна удаленного доступа Poison Ivy (RAT), либо Cobalt Strike Beacon, устанавливая соединение с сервером, контролируемым Mustang Panda. Эта сложная последовательность действий подчеркивает продвинутый и настойчивый характер киберопераций Mustang Panda.

Бэкдор DOPLUGS — новое дополнение к вредоносному арсеналу киберпреступной группы

Впервые обнаруженный исследователями в сентябре 2022 года, DOPLUGS функционирует как загрузчик, оснащенный четырьмя отдельными бэкдорными командами. Примечательно, что одна из этих команд предназначена для облегчения загрузки обычной версии вредоносного ПО PlugX.

Эксперты по безопасности также обнаружили варианты DOPLUGS, включающие модуль KillSomeOne . Этот плагин служит нескольким целям, включая распространение вредоносного ПО, сбор информации и кражу документов через USB-накопители.

Этот конкретный вариант DOPLUGS включает в себя дополнительный компонент запуска. Этот компонент выполняет законный исполняемый файл, используя методы боковой загрузки DLL. Кроме того, он поддерживает такие функции, как выполнение команд и загрузка вредоносного ПО следующего этапа с сервера, контролируемого злоумышленником.

Специально разработанный вариант PlugX с модулем KillSomeOne, специально разработанный для распространения через USB-накопители, был обнаружен еще в январе 2020 года исследователями информационной безопасности. Вредоносное ПО было развернуто в рамках серии атак на Гонконг и Вьетнам.

В конце 2023 года стало известно о кампании Mustang Panda, направленной на тайваньские политические, дипломатические и правительственные структуры, использующие DOPLUGS. Отличительной особенностью операции атаки было то, что вредоносная DLL была создана с использованием языка программирования Nim. В отличие от своих предшественников, этот новый вариант использует уникальную реализацию алгоритма RC4 для расшифровки PlugX, отличающуюся от традиционного использования библиотеки Windows Cryptsp.dll в предыдущих версиях.