DOPLUGS Backdoor

Mustang Panda, një aktor kërcënimi me lidhje me Kinën, ka përdorur një variant të personalizuar të dyerve të pasme PlugX (i njohur gjithashtu si Korplug ), i referuar si DOPLUGS, për të synuar disa vende aziatike. Ky version i përshtatur i malware PlugX ndryshon nga varianti tipik duke i munguar një moduli komandues i integruar plotësisht në prapavijë; në vend të kësaj, është projektuar posaçërisht për shkarkimin e modulit të fundit. Fokusi kryesor i sulmeve DOPLUGS ka qenë në objektivat e vendosura në Tajvan dhe Vietnam, me dukuri më të vogla në Hong Kong, Indi, Japoni, Malajzi, Mongoli dhe madje edhe Kinë.

Mustang Panda besohet se ka qenë aktive për më shumë se një dekadë

Mustang Panda, e njohur edhe me pseudonime të ndryshme, si BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 dhe TEMP.Hex mbështetet shumë në përdorimin e PlugX si një mjet kryesor . Ky aktor i kërcënimit ka qenë aktiv të paktën që nga viti 2012, megjithëse aktivitetet e tij fituan vëmendjen e publikut në vitin 2017.

Mënyra e funksionimit të Mustang Panda përfshin ekzekutimin e fushatave spear-phishing të krijuara me përpikëri, të dizajnuara për të ofruar një sërë malware të personalizuar. Që nga viti 2018, aktori i kërcënimit ka qenë i njohur për vendosjen e versioneve të veta të personalizuara të PlugX, duke përfshirë RedDelta , Thor, Hodur dhe DOPLUGS (të shpërndara përmes një fushate të quajtur SmugX).

Zinxhirët e kompromisit të orkestruara nga Mustang Panda përdorin një sërë taktikash të sofistikuara. Këto përfshijnë përdorimin e mesazheve phishing si një mekanizëm shpërndarjeje për ngarkesën e fazës së parë. Kjo ngarkesë, ndërkohë që i paraqet marrësit një dokument mashtrimi, shpaketon në mënyrë të fshehtë një ekzekutues legjitim, të nënshkruar që është i ndjeshëm ndaj ngarkimit anësor DLL. Kjo teknikë e ngarkimit anësor DLL përdoret më pas për të ngarkuar një bibliotekë me lidhje dinamike (DLL), e cila deshifron dhe ekzekuton malware-in PlugX.

Pasi të vendoset, malware PlugX vazhdon të marrë ose Poison Ivy Remote Access Trojan (RAT) ose Cobalt Strike Beacon, duke krijuar një lidhje me një server të kontrolluar nga Mustang Panda. Kjo sekuencë e ndërlikuar veprimesh nxjerr në pah natyrën e avancuar dhe të vazhdueshme të operacioneve kibernetike të Mustang Panda.

Backdoor DOPLUGS është një shtesë e re në arsenalin e malware të një grupi kriminal kibernetik

Vëzhguar fillimisht nga studiuesit në shtator 2022, DOPLUGS funksionon si një shkarkues i pajisur me katër komanda të veçanta të prapaskenës. Veçanërisht, një nga këto komanda është krijuar për të lehtësuar shkarkimin e versionit konvencional të malware PlugX.

Ekspertët e sigurisë kanë zbuluar gjithashtu variacione të DOPLUGS që përfshijnë një modul të quajtur KillSomeOne . Kjo shtojcë shërben për qëllime të shumta, duke përfshirë shpërndarjen e malware, mbledhjen e informacionit dhe vjedhjen e dokumenteve përmes disqeve USB.

Ky variant i veçantë i DOPLUGS përfshin një komponent shtesë lëshues. Ky komponent ekzekuton një ekzekutues legjitim, duke përdorur teknika të ngarkimit anësor DLL. Për më tepër, ai mbështet funksione të tilla si ekzekutimi i komandës dhe shkarkimi i malware-it të fazës tjetër nga një server i kontrolluar nga aktori i kërcënimit.

Një variant PlugX i bërë me porosi që përmban modulin KillSomeOne, i krijuar posaçërisht për përhapjen përmes disqeve USB, u zbulua që në janar 2020 nga studiuesit e infosec. Malware u vendos si pjesë e një serie sulmesh që synojnë Hong Kongun dhe Vietnamin.

Në fund të vitit 2023, doli në dritë një fushatë Mustang Panda që synonte entitetet politike, diplomatike dhe qeveritare tajvaneze që përdorin DOPLUGS. Operacioni i sulmit shfaqi një karakteristikë dalluese - DLL-ja e dëmshme u krijua duke përdorur gjuhën e programimit Nim. Ndryshe nga paraardhësit e tij, ky variant i ri përdor një zbatim unik të algoritmit RC4 për deshifrimin e PlugX, duke u larguar nga përdorimi konvencional i bibliotekës Windows Cryptsp.dll në versionet e mëparshme.