డాప్లగ్స్ బ్యాక్డోర్
ముస్తాంగ్ పాండా, చైనాతో సంబంధాలు కలిగి ఉన్న ముప్పు నటుడు, అనేక ఆసియా దేశాలను లక్ష్యంగా చేసుకోవడానికి DOPLUGSగా సూచించబడే PlugX ( Korplug అని కూడా పిలుస్తారు) బ్యాక్డోర్ యొక్క అనుకూలీకరించిన వేరియంట్ను ఉపయోగించారు. PlugX మాల్వేర్ యొక్క ఈ టైలర్డ్ వెర్షన్ పూర్తిగా ఇంటిగ్రేటెడ్ బ్యాక్డోర్ కమాండ్ మాడ్యూల్ లేకపోవడం ద్వారా సాధారణ వేరియంట్ నుండి భిన్నంగా ఉంటుంది; బదులుగా, ఇది రెండవ మాడ్యూల్ను డౌన్లోడ్ చేయడం కోసం ప్రత్యేకంగా రూపొందించబడింది. DOPLUGS దాడుల యొక్క ప్రాథమిక దృష్టి తైవాన్ మరియు వియత్నాంలో ఉన్న లక్ష్యాలపై ఉంది, హాంకాంగ్, భారతదేశం, జపాన్, మలేషియా, మంగోలియా మరియు చైనాలో కూడా తక్కువ సంఘటనలు జరిగాయి.
ముస్తాంగ్ పాండా ఒక దశాబ్దం కంటే ఎక్కువ కాలం పాటు చురుకుగా ఉన్నారని నమ్ముతారు
ముస్టాంగ్ పాండా, బేసిన్, కాంస్య ప్రెసిడెంట్, కమారో డ్రాగన్, ఎర్త్ ప్రెటా, హనీమైట్, రెడ్డెల్టా, రెడ్ లిచ్, స్టేట్లీ టారస్, TA416 మరియు TEMP.Hex వంటి అనేక మారుపేర్లతో కూడా పిలవబడుతుంది. . ఈ బెదిరింపు నటుడు కనీసం 2012 నుండి చురుకుగా ఉన్నారు, అయినప్పటికీ దీని కార్యకలాపాలు 2017లో ప్రజల దృష్టిని ఆకర్షించాయి.
ముస్తాంగ్ పాండా యొక్క కార్యనిర్వహణ విధానంలో కస్టమ్ మాల్వేర్ శ్రేణిని అందించడానికి రూపొందించబడిన సూక్ష్మంగా రూపొందించిన స్పియర్-ఫిషింగ్ ప్రచారాలను అమలు చేయడం ఉంటుంది. 2018 నుండి, బెదిరింపు నటుడు RedDelta , Thor, Hodur మరియు DOPLUGS (SmugX అనే ప్రచారం ద్వారా పంపిణీ చేయబడింది)తో సహా PlugX యొక్క తన స్వంత అనుకూలీకరించిన వెర్షన్లను మోహరించాడు.
ముస్తాంగ్ పాండాచే ఏర్పాటు చేయబడిన రాజీ గొలుసులు అధునాతన వ్యూహాల శ్రేణిని ఉపయోగిస్తాయి. వీటిలో మొదటి-దశ పేలోడ్ కోసం ఫిషింగ్ మెసేజ్లను డెలివరీ మెకానిజమ్గా ఉపయోగించడం ఉంటుంది. ఈ పేలోడ్, గ్రహీతకు డెకోయ్ డాక్యుమెంట్ను అందజేస్తున్నప్పుడు, DLL సైడ్-లోడింగ్కు అవకాశం ఉన్న చట్టబద్ధమైన, సంతకం చేయబడిన ఎక్జిక్యూటబుల్ను రహస్యంగా అన్ప్యాక్ చేస్తుంది. PlugX మాల్వేర్ను డీక్రిప్ట్ చేసి అమలు చేసే డైనమిక్-లింక్ లైబ్రరీ (DLL)ని లోడ్ చేయడానికి ఈ DLL సైడ్-లోడింగ్ టెక్నిక్ ఉపయోగించబడుతుంది.
అమలు చేసిన తర్వాత, PlugX మాల్వేర్ పాయిజన్ ఐవీ రిమోట్ యాక్సెస్ ట్రోజన్ (RAT) లేదా కోబాల్ట్ స్ట్రైక్ బెకన్ను తిరిగి పొందడం ద్వారా ముస్తాంగ్ పాండాచే నియంత్రించబడే సర్వర్తో కనెక్షన్ని ఏర్పరుస్తుంది. ఈ క్లిష్టమైన చర్యల క్రమం ముస్తాంగ్ పాండా యొక్క సైబర్ కార్యకలాపాల యొక్క అధునాతన మరియు నిరంతర స్వభావాన్ని హైలైట్ చేస్తుంది.
DOPLUGS బ్యాక్డోర్ అనేది సైబర్క్రిమినల్ గ్రూప్ యొక్క మాల్వేర్ ఆర్సెనల్కు కొత్త జోడింపు.
సెప్టెంబరు 2022లో పరిశోధకులు మొదట్లో గమనించారు, DOPLUGS నాలుగు విభిన్న బ్యాక్డోర్ ఆదేశాలతో కూడిన డౌన్లోడ్గా పనిచేస్తుంది. ముఖ్యంగా, ఈ ఆదేశాలలో ఒకటి ప్లగ్ఎక్స్ మాల్వేర్ యొక్క సంప్రదాయ వెర్షన్ డౌన్లోడ్ను సులభతరం చేయడానికి రూపొందించబడింది.
భద్రతా నిపుణులు KillSomeOne అనే మాడ్యూల్ను కలిగి ఉన్న DOPLUGS యొక్క వైవిధ్యాలను కూడా గుర్తించారు. ఈ ప్లగ్ఇన్ USB డ్రైవ్ల ద్వారా మాల్వేర్ పంపిణీ, సమాచార సేకరణ మరియు పత్రాల దొంగతనంతో సహా బహుళ ప్రయోజనాలను అందిస్తుంది.
DOPLUGS యొక్క ఈ ప్రత్యేక రూపాంతరంలో అదనపు లాంచర్ భాగం ఉంది. ఈ భాగం చట్టబద్ధమైన ఎక్జిక్యూటబుల్ని అమలు చేస్తుంది, DLL సైడ్-లోడింగ్ టెక్నిక్లను ఉపయోగిస్తుంది. ఇంకా, ఇది కమాండ్ ఎగ్జిక్యూషన్ మరియు బెదిరింపు నటులచే నియంత్రించబడే సర్వర్ నుండి తదుపరి-దశ మాల్వేర్ను డౌన్లోడ్ చేయడం వంటి కార్యాచరణలకు మద్దతు ఇస్తుంది.
USB డ్రైవ్ల ద్వారా ప్రచారం కోసం ప్రత్యేకంగా రూపొందించబడిన KillSomeOne మాడ్యూల్ను కలిగి ఉన్న అనుకూల-నిర్మిత PlugX వేరియంట్ జనవరి 2020 నాటికి infosec పరిశోధకులచే కనుగొనబడింది. హాంకాంగ్ మరియు వియత్నాంలను లక్ష్యంగా చేసుకుని వరుస దాడుల్లో భాగంగా ఈ మాల్వేర్ను మోహరించారు.
2023 చివరిలో, DOPLUGSని ఉపయోగించే తైవాన్ రాజకీయ, దౌత్య మరియు ప్రభుత్వ సంస్థలపై ముస్తాంగ్ పాండా ప్రచారం వెలుగులోకి వచ్చింది. దాడి ఆపరేషన్ ఒక విలక్షణమైన లక్షణాన్ని ప్రదర్శించింది - హానికరమైన DLL నిమ్ ప్రోగ్రామింగ్ లాంగ్వేజ్ ఉపయోగించి రూపొందించబడింది. దాని పూర్వీకుల మాదిరిగా కాకుండా, ఈ కొత్త వేరియంట్ PlugXని డీక్రిప్ట్ చేయడం కోసం RC4 అల్గారిథమ్ యొక్క ప్రత్యేకమైన అమలును ఉపయోగిస్తుంది, ఇది మునుపటి సంస్కరణల్లోని Windows Cryptsp.dll లైబ్రరీ యొక్క సాంప్రదాయిక ఉపయోగం నుండి భిన్నంగా ఉంటుంది.
