DOPLUGS Backdoor

Mustang Panda, заплашителен актьор с връзки в Китай, е използвал персонализиран вариант на PlugX (известен също като Korplug ) заден ход, наричан DOPLUGS, за да се насочи към няколко азиатски нации. Тази персонализирана версия на зловреден софтуер PlugX се различава от типичния вариант по липсата на напълно интегриран команден модул за задната врата; вместо това той е специално проектиран за изтегляне на последния модул. Основният фокус на атаките на DOPLUGS е върху цели, разположени в Тайван и Виетнам, с по-малки случаи в Хонконг, Индия, Япония, Малайзия, Монголия и дори Китай.

Смята се, че Mustang Panda е активен повече от десетилетие

Mustang Panda, известен също с различни псевдоними, като BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 и TEMP.Hex разчита до голяма степен на използването на PlugX като основен инструмент . Тази заплаха е активна най-малко от 2012 г., въпреки че дейността му привлече общественото внимание през 2017 г.

Начинът на действие на Mustang Panda включва изпълнение на щателно изработени фишинг кампании, предназначени да доставят набор от персонализиран зловреден софтуер. От 2018 г. насам е известно, че заплахата внедрява свои собствени персонализирани версии на PlugX, включително RedDelta , Thor, Hodur и DOPLUGS (разпространени чрез кампания, наречена SmugX).

Компромисните вериги, организирани от Mustang Panda, използват серия от сложни тактики. Те включват използването на фишинг съобщения като механизъм за доставка на полезен товар от първи етап. Този полезен товар, докато представя документ-примамка на получателя, тайно разопакова легитимен, подписан изпълним файл, който е податлив на странично зареждане на DLL. След това тази техника за странично зареждане на DLL се използва за зареждане на библиотека с динамични връзки (DLL), която дешифрира и изпълнява злонамерения софтуер PlugX.

Веднъж разгърнат, злонамереният софтуер PlugX продължава да извлича или Poison Ivy Remote Access Trojan (RAT) или Cobalt Strike Beacon, установявайки връзка със сървър, контролиран от Mustang Panda. Тази сложна последователност от действия подчертава напредналия и постоянен характер на кибер операциите на Mustang Panda.

DOPLUGS Backdoor е ново допълнение към арсенала на зловреден софтуер на киберпрестъпна група

Първоначално наблюдаван от изследователи през септември 2022 г., DOPLUGS функционира като програма за изтегляне, оборудвана с четири различни команди за задната врата. Трябва да се отбележи, че една от тези команди е предназначена да улесни изтеглянето на конвенционалната версия на злонамерения софтуер PlugX.

Експертите по сигурността също са открили варианти на DOPLUGS, които включват модул, наречен KillSomeOne . Този плъгин служи за множество цели, включително разпространение на зловреден софтуер, събиране на информация и кражба на документи чрез USB устройства.

Този конкретен вариант на DOPLUGS включва допълнителен компонент за стартиране. Този компонент изпълнява легитимен изпълним файл, като използва техники за странично зареждане на DLL. Освен това той поддържа функционалности като изпълнение на команди и изтегляне на зловреден софтуер от следващия етап от сървър, контролиран от заплахата.

Създаден по поръчка вариант на PlugX, включващ модула KillSomeOne, специално проектиран за разпространение през USB устройства, беше открит още през януари 2020 г. от изследователи на infosec. Злонамереният софтуер е внедрен като част от поредица от атаки, насочени към Хонконг и Виетнам.

В края на 2023 г. беше разкрита кампания на Mustang Panda, насочена към политически, дипломатически и правителствени организации в Тайван, използващи DOPLUGS. Операцията на атаката показва отличителна характеристика - вредната DLL е създадена с помощта на езика за програмиране Nim. За разлика от своите предшественици, този нов вариант използва уникална реализация на алгоритъма RC4 за дешифриране на PlugX, отклонявайки се от конвенционалното използване на библиотеката Windows Cryptsp.dll в предишните версии.