Cửa sau DOPLUGS

Mustang Panda, một kẻ đe dọa có quan hệ với Trung Quốc, đã sử dụng một biến thể tùy chỉnh của cửa sau PlugX (còn được gọi là Korplug ), được gọi là DOPLUGS, để nhắm mục tiêu vào một số quốc gia châu Á. Phiên bản phần mềm độc hại PlugX được tùy chỉnh này khác với biến thể thông thường ở chỗ thiếu mô-đun lệnh cửa sau được tích hợp đầy đủ; thay vào đó, nó được thiết kế đặc biệt để tải xuống mô-đun sau. Trọng tâm chính của các cuộc tấn công DOPLUGS là nhằm vào các mục tiêu ở Đài Loan và Việt Nam, với sự xuất hiện ít hơn ở Hồng Kông, Ấn Độ, Nhật Bản, Malaysia, Mông Cổ và thậm chí cả Trung Quốc.

Mustang Panda được cho là đã hoạt động được hơn một thập kỷ

Mustang Panda, còn được biết đến với nhiều bí danh khác nhau, chẳng hạn như BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 và TEMP.Hex chủ yếu dựa vào việc sử dụng PlugX làm công cụ cốt lõi . Kẻ đe dọa này đã hoạt động ít nhất từ năm 2012, mặc dù các hoạt động của nó đã thu hút được sự chú ý của công chúng vào năm 2017.

Phương thức hoạt động của Mustang Panda bao gồm việc thực hiện các chiến dịch lừa đảo được thiết kế tỉ mỉ nhằm phát tán nhiều loại phần mềm độc hại tùy chỉnh. Kể từ năm 2018, kẻ đe dọa đã triển khai các phiên bản PlugX tùy chỉnh của riêng mình, bao gồm RedDelta , Thor, Hodur và DOPLUGS (được phân phối thông qua chiến dịch có tên SmugX).

Các chuỗi thỏa hiệp do Mustang Panda dàn dựng sử dụng một loạt chiến thuật phức tạp. Chúng bao gồm việc sử dụng tin nhắn lừa đảo làm cơ chế phân phối cho tải trọng giai đoạn đầu. Tải trọng này, trong khi trình bày một tài liệu giả cho người nhận, sẽ lén lút giải nén một tệp thực thi hợp pháp, có chữ ký và dễ bị tải phụ DLL. Kỹ thuật tải phụ DLL này sau đó được sử dụng để tải thư viện liên kết động (DLL), giải mã và thực thi phần mềm độc hại PlugX.

Sau khi được triển khai, phần mềm độc hại PlugX sẽ tiến hành truy xuất Trojan truy cập từ xa Poison Ivy (RAT) hoặc Cobalt Strike Beacon, thiết lập kết nối với máy chủ do Mustang Panda kiểm soát. Chuỗi hành động phức tạp này làm nổi bật tính chất tiên tiến và bền bỉ của các hoạt động mạng của Mustang Panda.

Cửa hậu DOPLUGS là một phần bổ sung mới cho kho phần mềm độc hại của nhóm tội phạm mạng

Được các nhà nghiên cứu quan sát lần đầu vào tháng 9 năm 2022, DOPLUGS hoạt động như một trình tải xuống được trang bị bốn lệnh cửa sau riêng biệt. Đáng chú ý, một trong những lệnh này được thiết kế để tạo điều kiện thuận lợi cho việc tải xuống phiên bản thông thường của phần mềm độc hại PlugX.

Các chuyên gia bảo mật cũng đã phát hiện các biến thể của DOPLUGS kết hợp với mô-đun có tên KillSomeOne . Plugin này phục vụ nhiều mục đích, bao gồm phân phối phần mềm độc hại, thu thập thông tin và đánh cắp tài liệu qua ổ USB.

Biến thể DOPLUGS cụ thể này bao gồm một thành phần trình khởi chạy bổ sung. Thành phần này thực thi một tệp thực thi hợp pháp, sử dụng các kỹ thuật tải phụ DLL. Hơn nữa, nó hỗ trợ các chức năng như thực thi lệnh và tải xuống phần mềm độc hại giai đoạn tiếp theo từ máy chủ do tác nhân đe dọa kiểm soát.

Một biến thể PlugX được tạo tùy chỉnh có mô-đun KillSomeOne, được thiết kế đặc biệt để truyền qua ổ USB, đã được các nhà nghiên cứu của infosec phát hiện vào đầu tháng 1 năm 2020. Phần mềm độc hại được triển khai như một phần của hàng loạt cuộc tấn công nhắm vào Hồng Kông và Việt Nam.

Vào cuối năm 2023, một chiến dịch Mustang Panda nhắm vào các tổ chức chính trị, ngoại giao và chính phủ của Đài Loan sử dụng DOPLUGS đã được đưa ra ánh sáng. Hoạt động tấn công thể hiện một đặc điểm khác biệt - DLL độc hại được tạo ra bằng ngôn ngữ lập trình Nim. Không giống như các phiên bản tiền nhiệm, biến thể mới này sử dụng cách triển khai độc đáo thuật toán RC4 để giải mã PlugX, khác với cách sử dụng thông thường thư viện Windows Cryptsp.dll trong các phiên bản trước.