ДОПЛУГС Бацкдоор

Мустанг Панда, актер претње са везама са Кином, користио је прилагођену варијанту ПлугКс (такође познат као Корплуг ) бацкдоор, назван ДОПЛУГС, за циљање неколико азијских земаља. Ова прилагођена верзија ПлугКс малвера разликује се од типичне варијанте по томе што нема потпуно интегрисани бацкдоор командни модул; уместо тога, посебно је дизајниран за преузимање последњег модула. Примарни фокус ДОПЛУГС напада био је на циљевима који се налазе на Тајвану и Вијетнаму, са мањим појавама у Хонг Конгу, Индији, Јапану, Малезији, Монголији, па чак и Кини.

Верује се да је Мустанг Панда активна више од деценије

Мустанг Панда, такође позната по разним псеудонима, као што су БАСИН, Бронзе Пресидент, Цамаро Драгон, Еартх Прета, ХонеиМите, РедДелта, Ред Лицх, Статели Таурус, ТА416 и ТЕМП.Хек се у великој мери ослања на употребу ПлугКс-а као основног алата . Овај актер претњи је активан најмање од 2012. године, иако су његове активности привукле пажњу јавности 2017.

Модус операнди Мустанг Панде укључује извршавање педантно осмишљених кампања спеар-пхисхинга дизајнираних да испоруче низ прилагођених малвера. Од 2018, познато је да актер претње примењује сопствене прилагођене верзије ПлугКс-а, укључујући РедДелта , Тхор, Ходур и ДОПЛУГС (дистрибуиране кроз кампању под називом СмугКс).

Компромисни ланци које је оркестрирао Мустанг Панда користе низ софистицираних тактика. То укључује коришћење пхисхинг порука као механизма испоруке за првостепено оптерећење. Овај корисни терет, док примаоцу представља лажни документ, потајно распакује легитиман, потписан извршни фајл који је подложан бочном учитавању ДЛЛ-а. Ова техника бочног учитавања ДЛЛ-а се затим користи за учитавање библиотеке динамичке везе (ДЛЛ), која дешифрује и извршава ПлугКс малвер.

Када се примени, злонамерни софтвер ПлугКс наставља да преузима или Тројан за даљински приступ Поисон Иви (РАТ) или Цобалт Стрике Беацон, успостављајући везу са сервером који контролише Мустанг Панда. Ова замршена секвенца акција наглашава напредну и упорну природу сајбер операција Мустанг Панде.

ДОПЛУГС Бацкдоор је нови додатак арсеналу злонамерног софтвера групе сајбер криминалаца

Истраживачи су првобитно приметили у септембру 2022. године, ДОПЛУГС функционише као програм за преузимање опремљен са четири различите команде за бацкдоор. Значајно је да је једна од ових команди дизајнирана да олакша преузимање конвенционалне верзије ПлугКс малвера.

Стручњаци за безбедност су такође открили варијације ДОПЛУГС-а које садрже модул под називом КиллСомеОне . Овај додатак служи вишеструким сврхама, укључујући дистрибуцију злонамерног софтвера, прикупљање информација и крађу докумената преко УСБ дискова.

Ова конкретна варијанта ДОПЛУГС-а укључује додатну компоненту покретача. Ова компонента извршава легитимну извршну датотеку, користећи технике бочног учитавања ДЛЛ-а. Штавише, подржава функције као што су извршавање команди и преузимање малвера следеће фазе са сервера који контролише актер претње.

Истраживачи Инфосец-а открили су прилагођену ПлугКс варијанту која садржи модул КиллСомеОне, посебно дизајниран за ширење преко УСБ дискова. Малвер је распоређен као део серије напада усмерених на Хонг Конг и Вијетнам.

Крајем 2023. године, кампања Мустанг Панда усмерена на тајванске политичке, дипломатске и владине субјекте који користе ДОПЛУГС је изнета на видело. Операција напада је показала карактеристичну карактеристику - штетни ДЛЛ је направљен коришћењем програмског језика Ним. За разлику од својих претходника, ова нова варијанта користи јединствену имплементацију РЦ4 алгоритма за дешифровање ПлугКс-а, што се разликује од конвенционалне употребе Виндовс Цриптсп.длл библиотеке у претходним верзијама.