Η κακόβουλη ομάδα που συνδέεται με την Κίνα, γνωστή ως Mustang Panda, έχει βάλει στο στόχαστρό της διάφορες ασιατικές χώρες, χρησιμοποιώντας μια παραλλαγή του PlugX backdoor με την ονομασία DOPLUGS.
Δείτε επίσης: Οι αρχές “χτύπησαν” την phishing υπηρεσία BulletProftLink
Οι στόχοι του DOPLUGS εντοπίζονται κυρίως στην Ταϊβάν και το Βιετνάμ, και σε μικρότερο βαθμό στο Χονγκ Κονγκ, στην Ινδία, την Ιαπωνία, τη Μαλαισία, τη Μογγολία και ακόμη και στην Κίνα.
Το PlugX είναι ένα βασικό εργαλείο του Mustang Panda, το οποίο παρακολουθείται επίσης ως BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 και TEMP.Hex. Είναι ενεργό τουλάχιστον από το 2012, αν και έγινε γνωστό για πρώτη φορά το 2017.
Άλλες παραλλαγές του PlugX
Οι τεχνικές του δράστη περιλαμβάνουν τη διεξαγωγή καλά διαμορφωμένων επιθέσεων με spear-phishing, οι οποίες σχεδιάζονται για την ανάπτυξη προσαρμοσμένου κακόβουλου λογισμικού. Η Mustang Panda έχει επίσης ιστορικό ανάπτυξης δικών του παραλλαγών PlugX, όπως το RedDelta, Thor, Hodur και DOPLUGS (διανεμημένα μέσω μιας εκστρατείας με το όνομα SmugX) από το 2018.
Οι αλυσίδες παραβίασης εκμεταλλεύονται ένα σύνολο τακτικών, χρησιμοποιώντας μηνύματα phishing ως διαύλους για την παράδοση μιας πρώτης φάσης φορτίου που, ενώ εμφανίζει ένα ψεύτικο έγγραφο στον παραλήπτη, αποσυμπιέζει μυστικά ένα νόμιμο, υπογεγραμμένο εκτελέσιμο αρχείο που είναι ευάλωτο στην πλευρική φόρτωση DLL, για την πλευρική φόρτωση μιας βιβλιοθήκης δυναμικών συνδέσεων (DLL), η οποία, με τη σειρά της, αποκρυπτογραφεί και εκτελεί το PlugX.
Το malware PlugX στη συνέχεια ανακτά το Poison Ivy remote access trojan (RAT) ή το Cobalt Strike Beacon για να καθιερώσει μια σύνδεση με έναν διακομιστή ελέγχεται από το Mustang Panda.
Δείτε ακόμα: Αύξηση των phishing emails κατά 1265%: Ο ρόλος του ChatGPT
Τον Δεκέμβριο του 2023, το Lab52 ανακάλυψε μια εκστρατεία Mustang Panda που στοχεύει σε πολιτικές, διπλωματικές και κυβερνητικές οντότητες της Ταϊβάν με το DOPLUGS, αλλά με μια αξιοσημείωτη διαφορά.
Το DOPLUGS, που τεκμηριώθηκε για πρώτη φορά από την Secureworks τον Σεπτέμβριο του 2022, είναι ένα πρόγραμμα λήψης με τέσσερις εντολές backdoor, μία από τις οποίες είναι ενορχηστρωμένη για λήψη του γενικού τύπου του κακόβουλου λογισμικού PlugX.
Διαφορετική εκδοχή του DOPLUGS
Η εταιρεία Trend Micro ανέφερε ότι εντόπισε δείγματα DOPLUGS της Mustang Panda που ενσωματώνουν ένα πρόσθετο, γνωστό ως KillSomeOne, το οποίο είναι υπεύθυνο για τη διάδοση κακόβουλου λογισμικού, τη συλλογή πληροφοριών και την κλοπή εγγράφων μέσω USB.
Αυτή η εκδοχή περιλαμβάνει ένα πρόσθετο στοιχείο εκκίνησης που εκτελεί το νόμιμο εκτελέσιμο αρχείο για να πραγματοποιήσει την πλευρική φόρτωση DLL, πέρα από την υποστήριξη λειτουργιών για την εκτέλεση εντολών και τη λήψη του κακόβουλου λογισμικού επόμενης φάσης από έναν διακεκριμένο διακομιστή.
Μια εξατομικευμένη παραλλαγή του PlugX, περιλαμβάνοντας το KillSomeOne module που σχεδιάστηκε για διάδοση μέσω USB, ανακαλύφθηκε τον Ιανουάριο του 2020 από την Avira ως μέρος επιθέσεων κατά της Χονγκ Κονγκ και του Βιετνάμ.
Δείτε επίσης: Phishing καμπάνια στοχεύει Microsoft Azure accounts
Πώς μπορούν οι χρήστες να προστατευθούν από backdoors;
Για να προστατευθούν οι χρήστες από τα backdoors όπως το DOPLUGS της Mustang Panda, θα πρέπει πρώτα να ενημερωθούν για τις πιθανές απειλές. Αυτό μπορεί να γίνει μέσω της εκπαίδευσης σε θέματα ασφάλειας πληροφορικής και της ενημέρωσης για τις τελευταίες εξελίξεις στον τομέα της κυβερνοασφάλειας. Επιπλέον, οι χρήστες θα πρέπει να εγκαταστήσουν και να ενημερώνουν τακτικά ένα αξιόπιστο λογισμικό antivirus και ασφάλειας. Τα προγράμματα αυτά μπορούν να ανιχνεύσουν και να απομακρύνουν τα backdoors που ενδέχεται να έχουν εγκατασταθεί στον υπολογιστή τους. Είναι επίσης σημαντικό να διατηρούν το λειτουργικό τους σύστημα και τις εφαρμογές τους ενημερωμένες. Τέλος, οι χρήστες θα πρέπει να είναι προσεκτικοί με τα δεδομένα που κοινοποιούν στο διαδίκτυο και τα δίκτυα στα οποία συνδέονται. Η χρήση δυνατών κωδικών πρόσβασης και η αποφυγή της σύνδεσης σε ανασφαλή δίκτυα μπορεί να βοηθήσει στην προστασία από τα backdoors.
Πηγή: thehackernews
