DOPLUGS Bakdörr
Mustang Panda, en hotaktör med kopplingar till Kina, har använt en anpassad variant av PlugX (även känd som Korplug ) bakdörr, kallad DOPLUGS, för att rikta in sig på flera asiatiska nationer. Denna skräddarsydda version av PlugX malware skiljer sig från den typiska varianten genom att sakna en helt integrerad bakdörrskommandomodul; istället är den speciellt utformad för att ladda ner den senare modulen. Det primära fokus för DOPLUGS-attacker har varit på mål belägna i Taiwan och Vietnam, med mindre förekomster i Hongkong, Indien, Japan, Malaysia, Mongoliet och till och med Kina.
Mustang Panda tros ha varit aktiv i mer än ett decennium
Mustang Panda, även känd under olika alias, såsom BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 och TEMP.Hex är starkt beroende av användningen av PlugX som ett kärnverktyg . Denna hotaktör har varit aktiv sedan åtminstone 2012, även om dess aktiviteter fick allmän uppmärksamhet 2017.
Tillvägagångssättet för Mustang Panda innebär att utföra noggrant utarbetade spjutfiskekampanjer utformade för att leverera en rad anpassade skadliga program. Sedan 2018 har hotaktören varit känd för att distribuera sina egna anpassade versioner av PlugX, inklusive RedDelta , Thor, Hodur och DOPLUGS (distribueras genom en kampanj som heter SmugX).
Kompromisskedjorna som orkestreras av Mustang Panda använder en rad sofistikerade taktiker. Dessa inkluderar användning av nätfiskemeddelanden som en leveransmekanism för en nyttolast i första steget. Denna nyttolast, medan den presenterar ett lockbetedokument för mottagaren, packar i smyg upp en legitim, signerad körbar fil som är mottaglig för sidladdning av DLL. Denna teknik för sidladdning av DLL används sedan för att ladda ett dynamiskt länkbibliotek (DLL), som dekrypterar och exekverar PlugX malware.
När den väl har distribuerats fortsätter PlugX skadlig programvara för att hämta antingen Poison Ivy Remote Access Trojan (RAT) eller Cobalt Strike Beacon, och upprättar en anslutning till en server som kontrolleras av Mustang Panda. Denna komplicerade sekvens av åtgärder belyser den avancerade och ihållande karaktären hos Mustang Pandas cyberoperationer.
DOPLUGS-bakdörren är ett nytt tillägg till skadlig programvara i en cyberkriminell grupp
DOPLUGS, som ursprungligen observerades av forskare i september 2022, fungerar som en nedladdare utrustad med fyra distinkta bakdörrskommandon. Ett av dessa kommandon är särskilt utformat för att underlätta nedladdningen av den konventionella versionen av PlugX malware.
Säkerhetsexperter har också upptäckt varianter av DOPLUGS som innehåller en modul som heter KillSomeOne . Denna plugin tjänar flera syften, inklusive distribution av skadlig programvara, insamling av information och stöld av dokument via USB-enheter.
Denna speciella variant av DOPLUGS inkluderar en extra startkomponent. Den här komponenten kör en legitim körbar fil med DLL-tekniker för sidladdning. Dessutom stöder den funktioner som kommandoexekvering och nedladdning av skadlig programvara i nästa steg från en server som kontrolleras av hotaktören.
En skräddarsydd PlugX-variant med KillSomeOne-modulen, speciellt designad för spridning via USB-enheter, upptäcktes redan i januari 2020 av infosec-forskare. Skadlig programvara distribuerades som en del av en serie attacker mot Hongkong och Vietnam.
I slutet av 2023 uppdagades en Mustang Panda-kampanj riktad mot taiwanesiska politiska, diplomatiska och statliga enheter som använder DOPLUGS. Attackoperationen visade en utmärkande egenskap - den skadliga DLL:n skapades med hjälp av programmeringsspråket Nim. Till skillnad från sina föregångare använder den här nya varianten en unik implementering av RC4-algoritmen för att dekryptera PlugX, som avviker från den konventionella användningen av Windows Cryptsp.dll-biblioteket i tidigare versioner.
