DOPLUGS แบ็คดอร์

Mustang Panda ซึ่งเป็นภัยคุกคามที่มีความสัมพันธ์กับจีน ได้ใช้แบ็คดอร์ PlugX (หรือที่รู้จักในชื่อ Korplug ) ในรูปแบบที่กำหนดเอง หรือที่เรียกว่า DOPLUGS เพื่อกำหนดเป้าหมายไปยังหลายประเทศในเอเชีย มัลแวร์ PlugX เวอร์ชันที่ได้รับการปรับแต่งนี้แตกต่างจากเวอร์ชันทั่วไปเนื่องจากไม่มีโมดูลคำสั่งแบ็คดอร์ที่บูรณาการอย่างสมบูรณ์ แต่ได้รับการออกแบบมาเป็นพิเศษสำหรับการดาวน์โหลดโมดูลหลังแทน จุดสนใจหลักของการโจมตี DOPLUGS อยู่ที่เป้าหมายที่ตั้งอยู่ในไต้หวันและเวียดนาม โดยเกิดขึ้นน้อยกว่าในฮ่องกง อินเดีย ญี่ปุ่น มาเลเซีย มองโกเลีย และแม้แต่จีน

เชื่อกันว่ามัสแตงแพนด้าใช้งานมานานกว่าทศวรรษ

Mustang Panda หรือที่รู้จักกันในชื่อนามแฝงต่างๆ เช่น BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 และ TEMP.Hex อาศัยการใช้ PlugX เป็นเครื่องมือหลักอย่างมาก . ผู้คุกคามรายนี้เริ่มใช้งานมาตั้งแต่ปี 2012 เป็นอย่างน้อย แม้ว่ากิจกรรมของมันจะได้รับความสนใจจากสาธารณชนในปี 2017 ก็ตาม

วิธีการดำเนินการของ Mustang Panda เกี่ยวข้องกับการดำเนินแคมเปญฟิชชิ่งแบบหอกที่สร้างขึ้นอย่างพิถีพิถันซึ่งออกแบบมาเพื่อส่งมัลแวร์แบบกำหนดเองที่หลากหลาย ตั้งแต่ปี 2018 เป็นต้นมา เป็นที่รู้กันว่าผู้คุกคามใช้ PlugX เวอร์ชันที่ปรับแต่งเอง รวมถึง RedDelta , Thor, Hodur และ DOPLUGS (เผยแพร่ผ่านแคมเปญชื่อ SmugX)

เครือข่ายประนีประนอมที่จัดทำโดยมัสแตงแพนด้าใช้กลวิธีที่ซับซ้อนหลายชุด ซึ่งรวมถึงการใช้ข้อความฟิชชิ่งเป็นกลไกการจัดส่งสำหรับเพย์โหลดขั้นแรก เพย์โหลดนี้ในขณะที่แสดงเอกสารล่อให้ผู้รับ แอบแกะไฟล์ปฏิบัติการที่ถูกต้องตามกฎหมายและลงนามซึ่งเสี่ยงต่อการโหลด DLL ด้านข้าง จากนั้นจึงใช้เทคนิคการโหลด DLL ฝั่งนี้เพื่อโหลดไลบรารีลิงก์แบบไดนามิก (DLL) ซึ่งจะถอดรหัสและเรียกใช้มัลแวร์ PlugX

เมื่อใช้งานแล้ว มัลแวร์ PlugX จะดำเนินการเรียกค้น Poison Ivy Remote Access Trojan (RAT) หรือ Cobalt Strike Beacon เพื่อสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ที่ควบคุมโดย Mustang Panda ลำดับการกระทำที่ซับซ้อนนี้เน้นให้เห็นถึงลักษณะขั้นสูงและต่อเนื่องของการปฏิบัติการทางไซเบอร์ของ Mustang Panda

DOPLUGS Backdoor เป็นส่วนเสริมใหม่ของคลังมัลแวร์ของกลุ่มอาชญากรไซเบอร์

นักวิจัยค้นพบครั้งแรกในเดือนกันยายน 2022 โดย DOPLUGS ทำหน้าที่เป็นตัวดาวน์โหลดที่มีคำสั่งลับๆ ที่แตกต่างกันสี่คำสั่ง โดยเฉพาะอย่างยิ่ง หนึ่งในคำสั่งเหล่านี้ได้รับการออกแบบมาเพื่ออำนวยความสะดวกในการดาวน์โหลดมัลแวร์ PlugX เวอร์ชันทั่วไป

ผู้เชี่ยวชาญด้านความปลอดภัยยังตรวจพบ DOPLUGS หลากหลายรูปแบบที่รวมเอาโมดูลที่เรียกว่า KillSomeOne ปลั๊กอินนี้มีจุดประสงค์หลายประการ รวมถึงการเผยแพร่มัลแวร์ การรวบรวมข้อมูล และการขโมยเอกสารผ่านไดรฟ์ USB

DOPLUGS เวอร์ชันเฉพาะนี้มีส่วนประกอบตัวเรียกใช้งานเพิ่มเติม ส่วนประกอบนี้ดำเนินการปฏิบัติการที่ถูกต้องตามกฎหมาย โดยใช้เทคนิคการโหลด DLL ด้านข้าง นอกจากนี้ยังสนับสนุนฟังก์ชันต่างๆ เช่น การดำเนินการตามคำสั่งและการดาวน์โหลดมัลแวร์ขั้นต่อไปจากเซิร์ฟเวอร์ที่ควบคุมโดยผู้คุกคาม

นักวิจัยของ Infosec ค้นพบ PlugX รุ่นพิเศษที่มีโมดูล KillSomeOne ซึ่งออกแบบมาโดยเฉพาะสำหรับการเผยแพร่ผ่านไดรฟ์ USB มัลแวร์ดังกล่าวถูกนำไปใช้โดยเป็นส่วนหนึ่งของชุดการโจมตีที่มีเป้าหมายที่ฮ่องกงและเวียดนาม

ในช่วงปลายปี 2023 แคมเปญ Mustang Panda ที่มุ่งเป้าไปที่หน่วยงานทางการเมือง การทูต และรัฐบาลของไต้หวันที่ใช้ DOPLUGS ได้ถูกเปิดเผย การดำเนินการโจมตีแสดงคุณลักษณะที่โดดเด่น - DLL ที่เป็นอันตรายถูกสร้างขึ้นโดยใช้ภาษาการเขียนโปรแกรม Nim เวอร์ชันใหม่นี้ต่างจากรุ่นก่อนตรงที่ใช้อัลกอริธึม RC4 สำหรับการถอดรหัส PlugX ที่ไม่เหมือนใคร แตกต่างจากการใช้ไลบรารี Windows Cryptsp.dll แบบทั่วไปในเวอร์ชันก่อนหน้า