DOPLUGS Arka Kapı
Çin ile bağları olan bir tehdit aktörü olan Mustang Panda, birçok Asya ülkesini hedeflemek için PlugX'in ( Korplug olarak da bilinir) DOPLUGS olarak adlandırılan özelleştirilmiş bir arka kapısını kullandı. PlugX kötü amaçlı yazılımının bu özelleştirilmiş sürümü, tam entegre bir arka kapı komut modülünün bulunmaması nedeniyle tipik varyanttan farklıdır; bunun yerine özellikle ikinci modülü indirmek için tasarlanmıştır. DOPLUGS saldırılarının ana odak noktası Tayvan ve Vietnam'da bulunan hedeflerdir; daha az olarak Hong Kong, Hindistan, Japonya, Malezya, Moğolistan ve hatta Çin'de meydana gelmektedir.
Mustang Panda'nın On Yılı Aşkın Süredir Aktif Olduğuna İnanılıyor
BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 ve TEMP.Hex gibi çeşitli takma adlarla da bilinen Mustang Panda, temel araç olarak PlugX'in kullanımına büyük ölçüde güveniyor. . Bu tehdit aktörü en az 2012 yılından bu yana faaliyet gösteriyor ancak faaliyetleri 2017 yılında kamuoyunun dikkatini çekti.
Mustang Panda'nın işleyiş tarzı, bir dizi özel kötü amaçlı yazılım dağıtmak üzere tasarlanmış, titizlikle hazırlanmış hedef odaklı kimlik avı kampanyalarının yürütülmesini içerir. Tehdit aktörünün 2018'den bu yana RedDelta , Thor, Hodur ve DOPLUGS (SmugX adlı bir kampanya aracılığıyla dağıtılır) dahil olmak üzere kendi özelleştirilmiş PlugX sürümlerini kullandığı biliniyor.
Mustang Panda'nın düzenlediği uzlaşma zincirleri bir dizi karmaşık taktik kullanıyor. Bunlar arasında, birinci aşama veri için bir dağıtım mekanizması olarak kimlik avı mesajlarının kullanılması da yer alıyor. Bu veri, alıcıya sahte bir belge sunarken, DLL tarafından yüklemeye açık, meşru, imzalı bir yürütülebilir dosyayı gizlice paketinden çıkarır. Bu DLL yandan yükleme tekniği daha sonra PlugX kötü amaçlı yazılımının şifresini çözen ve çalıştıran bir dinamik bağlantı kitaplığını (DLL) yüklemek için kullanılır.
PlugX kötü amaçlı yazılımı konuşlandırıldıktan sonra Poison Ivy Uzaktan Erişim Truva Atı'nı (RAT) veya Cobalt Strike Beacon'ı ele geçirerek Mustang Panda tarafından kontrol edilen bir sunucuyla bağlantı kurar. Bu karmaşık eylemler dizisi, Mustang Panda'nın siber operasyonlarının gelişmiş ve kalıcı doğasını vurguluyor.
DOPLUGS Arka Kapısı, Bir Siber Suç Grubunun Kötü Amaçlı Yazılım Cephaneliğine Yeni Bir Eklemedir
Araştırmacılar tarafından ilk olarak Eylül 2022'de gözlemlenen DOPLUGS, dört farklı arka kapı komutuyla donatılmış bir indirici olarak işlev görüyor. Bu komutlardan birinin, PlugX kötü amaçlı yazılımının geleneksel sürümünün indirilmesini kolaylaştırmak için tasarlanmış olması dikkat çekicidir.
Güvenlik uzmanları ayrıca KillSomeOne adlı bir modülü içeren DOPLUGS çeşitlerini de tespit etti. Bu eklenti, kötü amaçlı yazılım dağıtımı, bilgi toplama ve USB sürücüler aracılığıyla belge hırsızlığı dahil olmak üzere birçok amaca hizmet eder.
DOPLUGS'un bu özel çeşidi ek bir başlatıcı bileşeni içerir. Bu bileşen, DLL yan yükleme tekniklerini kullanarak meşru bir yürütülebilir dosyayı çalıştırır. Ayrıca tehdit aktörü tarafından kontrol edilen bir sunucudan komut çalıştırma ve sonraki aşamadaki kötü amaçlı yazılımı indirme gibi işlevleri de destekler.
KillSomeOne modülünü içeren özel yapım bir PlugX çeşidi, özellikle USB sürücüleri aracılığıyla yayılım için tasarlanmış olup, Ocak 2020 gibi erken bir tarihte infosec araştırmacıları tarafından ortaya çıkarılmıştır. Kötü amaçlı yazılım, Hong Kong ve Vietnam'ı hedef alan bir dizi saldırının parçası olarak kullanıldı.
2023'ün sonunda, DOPLUGS'u kullanan Tayvan'ın siyasi, diplomatik ve devlet kurumlarına yönelik bir Mustang Panda kampanyası gün ışığına çıkarıldı. Saldırı operasyonu kendine özgü bir özellik sergiledi; zararlı DLL, Nim programlama dili kullanılarak hazırlandı. Öncekilerden farklı olarak bu yeni varyant, PlugX'in şifresini çözmek için RC4 algoritmasının benzersiz bir uygulamasını kullanıyor ve önceki sürümlerdeki Windows Cryptsp.dll kütüphanesinin geleneksel kullanımından farklılaşıyor.
