Бекдор DOPLUGS

Mustang Panda, загрозливий актор із зв’язками з Китаєм, використав налаштований варіант бекдора PlugX (також відомого як Korplug ), який називається DOPLUGS, для націлювання на кілька азіатських країн. Ця адаптована версія шкідливого ПЗ PlugX відрізняється від типового варіанту відсутністю повністю інтегрованого бекдор-командного модуля; натомість він спеціально розроблений для завантаження останнього модуля. Атаки DOPLUGS в основному зосереджені на об’єктах, розташованих у Тайвані та В’єтнамі, рідше – у Гонконзі, Індії, Японії, Малайзії, Монголії та навіть Китаї.

Вважається, що Mustang Panda працює більше десяти років

Mustang Panda, також відомий під різними псевдонімами, такими як BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 і TEMP.Hex значною мірою покладається на використання PlugX як основного інструменту. . Цей загрозливий суб’єкт діє принаймні з 2012 року, хоча його діяльність привернула увагу громадськості в 2017 році.

Методи роботи Mustang Panda включають проведення ретельно розроблених фішингових кампаній, спрямованих на розповсюдження різноманітних шкідливих програм. Відомо, що з 2018 року зловмисник розгортає власні налаштовані версії PlugX, зокрема RedDelta , Thor, Hodur і DOPLUGS (розповсюджені через кампанію під назвою SmugX).

Компромісні ланцюги, організовані Mustang Panda, використовують низку витончених тактик. До них відноситься використання фішингових повідомлень як механізму доставки корисного навантаження першого етапу. Це корисне навантаження, представляючи документ-приманку одержувачу, таємно розпаковує законний підписаний виконуваний файл, який чутливий до стороннього завантаження DLL. Ця техніка бокового завантаження DLL потім використовується для завантаження бібліотеки динамічного компонування (DLL), яка розшифровує та запускає шкідливе програмне забезпечення PlugX.

Після розгортання зловмисне програмне забезпечення PlugX отримує або троян віддаленого доступу Poison Ivy (RAT), або Cobalt Strike Beacon, встановлюючи з’єднання із сервером, яким керує Mustang Panda. Ця заплутана послідовність дій підкреслює передовий і наполегливий характер кібероперацій Mustang Panda.

Бекдор DOPLUGS — це нове доповнення до арсеналу зловмисного програмного забезпечення групи кіберзлочинців

Спочатку дослідники спостерігали у вересні 2022 року, DOPLUGS функціонує як завантажувач, оснащений чотирма окремими бекдор-командами. Примітно, що одна з цих команд призначена для полегшення завантаження звичайної версії шкідливого ПЗ PlugX.

Експерти з безпеки також виявили варіанти DOPLUGS, які містять модуль під назвою KillSomeOne . Цей плагін призначений для багатьох цілей, зокрема для розповсюдження шкідливих програм, збору інформації та крадіжки документів через USB-накопичувачі.

Цей конкретний варіант DOPLUGS містить додатковий компонент запуску. Цей компонент виконує законний виконуваний файл, використовуючи методи бокового завантаження DLL. Крім того, він підтримує такі функції, як виконання команд і завантаження зловмисного програмного забезпечення наступного етапу з сервера, контрольованого загрозою.

Спеціальний варіант PlugX із модулем KillSomeOne, спеціально розробленим для розповсюдження через USB-накопичувачі, був виявлений дослідниками Infosec ще в січні 2020 року. Зловмисне програмне забезпечення було розгорнуто в рамках серії атак, спрямованих на Гонконг і В'єтнам.

Наприкінці 2023 року була оголошена кампанія Mustang Panda, спрямована на політичні, дипломатичні та урядові організації Тайваню, які використовують DOPLUGS. Операція атаки показала відмітну характеристику - шкідлива DLL була створена за допомогою мови програмування Nim. На відміну від своїх попередників, цей новий варіант використовує унікальну реалізацію алгоритму RC4 для дешифрування PlugX, що відрізняється від звичайного використання бібліотеки Windows Cryptsp.dll у попередніх версіях.