DOPLUGS Backdoor

Mustang Panda, aktér hrozieb s väzbami na Čínu, použil prispôsobený variant zadného vrátka PlugX (tiež známy ako Korplug ), označovaný ako DOPLUGS, aby sa zameral na niekoľko ázijských krajín. Táto prispôsobená verzia malvéru PlugX sa líši od typického variantu tým, že chýba plne integrovaný zadný príkazový modul; namiesto toho je špeciálne navrhnutý na sťahovanie posledného modulu. Primárne zameranie útokov DOPLUGS bolo na ciele nachádzajúce sa na Taiwane a vo Vietname, s menším výskytom v Hongkongu, Indii, Japonsku, Malajzii, Mongolsku a dokonca aj v Číne.

Predpokladá sa, že Mustang Panda je aktívny viac ako desať rokov

Mustang Panda, známy aj pod rôznymi prezývkami, ako BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 a TEMP.Hex sa vo veľkej miere spolieha na použitie PlugX ako základného nástroja. . Tento aktér hrozieb je aktívny minimálne od roku 2012, hoci jeho činnosť si získala pozornosť verejnosti v roku 2017.

Modus operandi Mustang Panda zahŕňa vykonávanie precízne vytvorených spear-phishingových kampaní navrhnutých tak, aby poskytovali množstvo vlastného malvéru. Od roku 2018 je známe, že aktér hrozby nasadzuje svoje vlastné prispôsobené verzie PlugX, vrátane RedDelta , Thor, Hodur a DOPLUGS (distribuované prostredníctvom kampane s názvom SmugX).

Kompromisné reťazce riadené Mustangom Panda využívajú sériu sofistikovaných taktík. Patrí medzi ne používanie phishingových správ ako mechanizmu doručovania pre prvú fázu užitočného zaťaženia. Toto užitočné zaťaženie, zatiaľ čo príjemcovi predstavuje návnadu, tajne rozbalí legitímny, podpísaný spustiteľný súbor, ktorý je náchylný na načítanie zo strany DLL. Táto technika bočného načítania DLL sa potom použije na načítanie dynamickej knižnice (DLL), ktorá dešifruje a spustí malvér PlugX.

Po nasadení, malvér PlugX pokračuje v získavaní buď Poison Ivy Remote Access Trojan (RAT) alebo Cobalt Strike Beacon, čím sa vytvorí spojenie so serverom ovládaným Mustang Panda. Táto zložitá postupnosť akcií zdôrazňuje pokročilú a vytrvalú povahu kybernetických operácií Mustang Panda.

DOPLUGS Backdoor je novým prírastkom do arzenálu malvéru skupiny kyberzločincov

DOPLUGS, pôvodne pozorovaný výskumníkmi v septembri 2022, funguje ako downloader vybavený štyrmi odlišnými zadnými vrátkami. Jeden z týchto príkazov je navrhnutý tak, aby uľahčil sťahovanie konvenčnej verzie škodlivého softvéru PlugX.

Bezpečnostní experti tiež odhalili variácie DOPLUGS, ktoré obsahujú modul s názvom KillSomeOne . Tento doplnok slúži na viaceré účely vrátane distribúcie škodlivého softvéru, zhromažďovania informácií a krádeží dokumentov prostredníctvom jednotiek USB.

Tento konkrétny variant DOPLUGS obsahuje dodatočný spúšťací komponent. Tento komponent spúšťa legitímny spustiteľný súbor využívajúci techniky bočného načítania DLL. Okrem toho podporuje funkcie, ako je vykonávanie príkazov a sťahovanie škodlivého softvéru ďalšej fázy zo servera kontrolovaného aktérom hrozby.

Na mieru vyrobený variant PlugX s modulom KillSomeOne, špeciálne navrhnutý na šírenie cez USB disky, bol objavený už v januári 2020 výskumníkmi z infosec. Malvér bol nasadený ako súčasť série útokov zameraných na Hongkong a Vietnam.

Koncom roka 2023 bola odhalená kampaň Mustang Panda zameraná na taiwanské politické, diplomatické a vládne subjekty využívajúce DOPLUGS. Útočná operácia vykazovala charakteristickú vlastnosť – škodlivá knižnica DLL bola vytvorená pomocou programovacieho jazyka Nim. Na rozdiel od svojich predchodcov tento nový variant využíva jedinečnú implementáciu algoritmu RC4 na dešifrovanie PlugX, čím sa líši od konvenčného používania knižnice Windows Cryptsp.dll v predchádzajúcich verziách.