DOPLUGS Backdoor

Ang Mustang Panda, isang banta na aktor na may kaugnayan sa China, ay gumamit ng customized na variant ng PlugX (kilala rin bilang Koplug ) backdoor, na tinutukoy bilang DOPLUGS, upang i-target ang ilang bansa sa Asya. Ang iniangkop na bersyon ng malware ng PlugX ay naiiba sa karaniwang variant sa pamamagitan ng kawalan ng ganap na pinagsamang backdoor command module; sa halip, ito ay partikular na idinisenyo para sa pag-download ng huling module. Ang pangunahing pokus ng mga pag-atake ng DOPLUGS ay nasa mga target na nasa Taiwan at Vietnam, na may mas kaunting mga pangyayari sa Hong Kong, India, Japan, Malaysia, Mongolia at maging sa China.

Ang Mustang Panda ay Pinaniniwalaang Aktibo sa Higit Isang Dekada

Ang Mustang Panda, na kilala rin sa iba't ibang alyas, tulad ng BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416, at TEMP.Hex ay lubos na umaasa sa paggamit ng PlugX bilang pangunahing tool . Ang banta na aktor na ito ay naging aktibo mula pa noong 2012, kahit na ang mga aktibidad nito ay nakakuha ng atensyon ng publiko noong 2017.

Ang modus operandi ng Mustang Panda ay nagsasangkot ng pagsasagawa ng mga kampanyang spear-phishing na maingat na ginawa na idinisenyo upang maghatid ng hanay ng custom na malware. Mula noong 2018, kilala ang threat actor na mag-deploy ng sarili nitong mga customized na bersyon ng PlugX, kabilang ang RedDelta , Thor, Hodur at DOPLUGS (ibinahagi sa pamamagitan ng campaign na pinangalanang SmugX).

Gumagamit ng serye ng mga sopistikadong taktika ang mga compromise chain na inayos ng Mustang Panda. Kabilang dito ang paggamit ng mga mensahe ng phishing bilang mekanismo ng paghahatid para sa unang yugto ng payload. Ang payload na ito, habang nagpapakita ng isang decoy na dokumento sa tatanggap, ay palihim na nag-aalis ng isang lehitimong, pinirmahang executable na madaling kapitan ng DLL side-loading. Ang DLL side-loading technique na ito ay ginagamit upang mag-load ng dynamic-link library (DLL), na nagde-decrypt at nagpapatupad ng PlugX malware.

Kapag na-deploy na, ang PlugX malware ay magpapatuloy upang kunin ang alinman sa Poison Ivy Remote Access Trojan (RAT) o ang Cobalt Strike Beacon, na nagtatatag ng koneksyon sa isang server na kinokontrol ng Mustang Panda. Ang masalimuot na pagkakasunud-sunod ng mga aksyon na ito ay nagha-highlight sa advanced at paulit-ulit na katangian ng mga cyber operation ng Mustang Panda.

Ang DOPLUGS Backdoor ay isang Bagong Dagdag sa Malware Arsenal ng isang Cybercriminal Group

Una nang naobserbahan ng mga mananaliksik noong Setyembre 2022, gumagana ang DOPLUGS bilang isang downloader na nilagyan ng apat na natatanging backdoor command. Kapansin-pansin, ang isa sa mga utos na ito ay idinisenyo upang mapadali ang pag-download ng kumbensyonal na bersyon ng PlugX malware.

Natuklasan din ng mga eksperto sa seguridad ang mga variation ng DOPLUGS na nagsasama ng isang module na tinatawag na KillSomeOne . Ang plugin na ito ay nagsisilbi ng maraming layunin, kabilang ang pamamahagi ng malware, pagkolekta ng impormasyon, at pagnanakaw ng mga dokumento sa pamamagitan ng mga USB drive.

Ang partikular na variant ng DOPLUGS ay may kasamang karagdagang bahagi ng launcher. Ang bahaging ito ay nagpapatupad ng isang lehitimong executable, na gumagamit ng mga diskarte sa side-loading ng DLL. Higit pa rito, sinusuportahan nito ang mga functionality tulad ng command execution at pag-download ng susunod na yugto ng malware mula sa isang server na kinokontrol ng threat actor.

Ang isang custom-made na variant ng PlugX na nagtatampok ng KillSomeOne module, na partikular na idinisenyo para sa pagpapalaganap sa pamamagitan ng mga USB drive, ay natuklasan noong Enero 2020 ng mga mananaliksik ng infosec. Ang malware ay na-deploy bilang bahagi ng isang serye ng mga pag-atake na nagta-target sa Hong Kong at Vietnam.

Sa pagtatapos ng 2023, isang kampanya ng Mustang Panda na naglalayong sa mga entidad ng pulitika, diplomatiko, at pamahalaan ng Taiwan na gumagamit ng DOPLUGS ay inihayag. Ang operasyon ng pag-atake ay nagpakita ng isang natatanging katangian - ang nakakapinsalang DLL ay ginawa gamit ang Nim programming language. Hindi tulad ng mga nauna nito, ang bagong variant na ito ay gumagamit ng natatanging pagpapatupad ng RC4 algorithm para sa pag-decrypting ng PlugX, na lumilihis mula sa kumbensyonal na paggamit ng Windows Cryptsp.dll library sa mga nakaraang bersyon.