Οι ερευνητές εντόπισαν έναν server εντολών και ελέγχου για μια παραλλαγή του PlugX malware και παρατήρησαν σε έξι μήνες περισσότερες από 2,5 εκατομμύρια συνδέσεις από μοναδικές διευθύνσεις IP.
Δείτε επίσης: Το malware AZORult εξαπλώνεται μέσω ψεύτικων ιστότοπων Google
Από τον περασμένο Σεπτέμβριο, ο server λάμβανε πάνω από 90.000 αιτήματα κάθε μέρα από μολυσμένους κεντρικούς υπολογιστές σε περισσότερες από 170 χώρες.
Από τον Σεπτέμβριο του 2023, όταν η Sekoia κατέλαβε τη μοναδική διεύθυνση IP που σχετίζεται με το συγκεκριμένο C2, έχει καταγράψει πάνω από 2.495.297 μοναδικές IP από 170 χώρες που αλληλεπιδρούν με τον server.
Αυτή η ενέργεια επέτρεψε στην εταιρεία ασφαλείας να αναλύσει την κυκλοφορία, να χαρτογραφήσει μολύνσεις, να αποτρέψει την κακόβουλη εκμετάλλευση πελατών και να σχεδιάσει αποτελεσματικά σχέδια εκκαθάρισης.
Ανάληψη ελέγχου του PlugX malware server
Ερευνητές της εταιρείας κυβερνοασφάλειας Sekoia ξόδεψαν 7 $ για να αποκτήσουν τη διεύθυνση IP 45.142.166[.]112 που αντιστοιχεί σε server εντολών και ελέγχου (C2) για μια παραλλαγή του PlugX malware που δεν χρησιμοποιεί πλέον ο παράγοντας απειλής.
Η διεύθυνση IP C2 τεκμηριώθηκε σε μια αναφορά τον Μάρτιο του 2023 από τη Sophos σχετικά με μια νέα έκδοση του PlugX. Το κακόβουλο λογισμικό είχε ήδη αποκτήσει δυνατότητες αυτοδιάδοσης μέσω συσκευών USB.
Αφού η Sekoia επικοινώνησε με την εταιρεία φιλοξενίας και ζήτησε τον έλεγχο της IP, οι ερευνητές απέκτησαν πρόσβαση σε ένα διακομιστή χρησιμοποιώντας την IP.
Ένας απλός διακομιστής ιστού δημιουργήθηκε για να μιμείται τη συμπεριφορά του αρχικού διακομιστή C2, ο οποίος επέτρεψε στους αναλυτές να καταγράφουν αιτήματα HTTP από μολυσμένους κεντρικούς υπολογιστές και να παρατηρούν παραλλαγές στη ροή.
Η επιχείρηση αποκάλυψε ότι μεταξύ 90.000 και 100.000 συστήματα έστελναν αιτήματα καθημερινά και για έξι μήνες περισσότερα από 2,5 εκατομμύρια μοναδικά IP συνδεδεμένα στον server από όλο τον κόσμο.
Δείτε ακόμα: Τα “TicTacToe Dropper” χρησιμοποιούνται για τη διανομή malware
Ενώ το malware εξαπλώθηκε σε 170 χώρες, μόνο 15 από αυτές αντιπροσωπεύουν πάνω από το 80% των συνολικών μολύνσεων, με τη Νιγηρία, την Ινδία, την Κίνα, το Ιράν, την Ινδονησία, το Ηνωμένο Βασίλειο, το Ιράκ και τις Ηνωμένες Πολιτείες να βρίσκονται στην κορυφή της λίστας.
Οι ερευνητές τονίζουν ότι ο PlugX malware server δεν έχει μοναδικά αναγνωριστικά, γεγονός που οδηγεί σε αναξιόπιστο αριθμό μολυσμένων κεντρικών υπολογιστών:
- Πολλοί σταθμοί εργασίας που έχουν παραβιαστεί μπορούν να εξέλθουν μέσω της ίδιας διεύθυνσης IP.
- Λόγω της δυναμικής διεύθυνσης IP, ένα μολυσμένο σύστημα μπορεί να συνδεθεί με πολλές διευθύνσεις IP.
- Πολλές συνδέσεις γίνονται μέσω υπηρεσιών VPN, γεγονός που μπορεί να κάνει τη χώρα προέλευσης μη ανιχνεύσιμη.
H Sekoia λέει ότι τα θύματα που επιλέγει, μπορεί να υποδεικνύει στρατηγικό ενδιαφέρον από την οπτική γωνία της Κίνας, καθώς οι περισσότερες μολύνσεις παρατηρούνται σε χώρες που συμμετέχουν στην παγκόσμια στρατηγική ανάπτυξης υποδομής της Κίνας Belt and Road Initiative.
Ωστόσο, οι ερευνητές σημειώνουν ότι αν και αυτό το συμπέρασμα είναι εύλογο, «πρέπει να ληφθεί με κάποια επιφύλαξη, γιατί μετά από τέσσερα χρόνια δραστηριοτήτων, είχε χρόνο να εξαπλωθεί παντού».
Δείτε επίσης: Η ομάδα Seedworm προωθεί malware μέσω εργαλείων RMM
Πώς μπορεί κάποιος να προστατευτεί από το malware;
Η προστασία από το malware, όπως στην περίπτωση του PlugX malware server, απαιτεί μια πολυεπίπεδη προσέγγιση. Αρχικά, είναι σημαντικό να διατηρείτε το λειτουργικό σας σύστημα, το λογισμικό και τις εφαρμογές σας ενημερωμένες. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να αποτρέψουν την είσοδο του malware. Επιπλέον, η χρήση ενός αξιόπιστου προγράμματος antimalware που παρέχει πραγματικού χρόνου προστασία μπορεί να είναι ιδιαίτερα χρήσιμη. Αυτά τα προγράμματα σαρώνουν τακτικά τον υπολογιστή σας για να εντοπίσουν και να αφαιρέσουν τυχόν malware. Η εκπαίδευση είναι επίσης κρίσιμη. Οι χρήστες πρέπει να γνωρίζουν τις τεχνικές που χρησιμοποιούν οι επιτιθέμενοι, όπως το phishing, και να είναι προσεκτικοί με τα emails και τα μηνύματα που λαμβάνουν. Τέλος, η χρήση δικτύων VPN και η αποφυγή της σύνδεσης σε αναξιόπιστα δίκτυα Wi-Fi μπορεί να βοηθήσει στην προστασία των δεδομένων σας από την παρακολούθηση και την παρεμβολή των επιτιθέμενων.
Πηγή: bleepingcomputer
