DOPLUGS Backdoor

Mustang Panda, hrozba s vazbami na Čínu, použila přizpůsobenou variantu zadních vrátek PlugX (také známý jako Korplug ), označovaných jako DOPLUGS, aby se zaměřila na několik asijských národů. Tato přizpůsobená verze malwaru PlugX se liší od typické varianty tím, že postrádá plně integrovaný řídicí modul zadních vrátek; místo toho je speciálně navržen pro stahování druhého modulu. Primární zaměření útoků DOPLUGS bylo na cíle na Tchaj-wanu a ve Vietnamu, s menšími výskyty v Hongkongu, Indii, Japonsku, Malajsii, Mongolsku a dokonce v Číně.

Věří se, že Mustang Panda byl aktivní déle než deset let

Mustang Panda, také známý pod různými aliasy, jako BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 a TEMP.Hex silně spoléhá na použití PlugX jako hlavního nástroje. . Tento aktér hrozeb působí minimálně od roku 2012, ačkoli jeho činnost získala pozornost veřejnosti v roce 2017.

Modus operandi Mustang Panda zahrnuje provádění pečlivě vytvořených kampaní spear-phishing navržených tak, aby poskytovaly řadu vlastního malwaru. Od roku 2018 je známo, že aktér hrozeb nasazuje své vlastní upravené verze PlugX, včetně RedDelta , Thor, Hodur a DOPLUGS (distribuované prostřednictvím kampaně s názvem SmugX).

Kompromisní řetězce organizované Mustangem Panda využívají řadu sofistikovaných taktik. Patří mezi ně používání phishingových zpráv jako mechanismu doručení pro první fázi užitečného zatížení. Tato užitečná část, zatímco příjemci předkládá návnadu, tajně rozbalí legitimní, podepsaný spustitelný soubor, který je náchylný k načítání ze strany DLL. Tato technika bočního načítání DLL se pak použije k načtení dynamické knihovny (DLL), která dešifruje a spustí malware PlugX.

Po nasazení malware PlugX pokračuje v získávání trojského koně Poison Ivy Remote Access Trojan (RAT) nebo Cobalt Strike Beacon a naváže spojení se serverem ovládaným Mustangem Pandou. Tato složitá sekvence akcí zdůrazňuje pokročilou a trvalou povahu kybernetických operací Mustang Panda.

DOPLUGS Backdoor je novým přírůstkem do malwarového arzenálu skupiny kyberzločinců

DOPLUGS, původně pozorovaný výzkumníky v září 2022, funguje jako downloader vybavený čtyřmi odlišnými zadními vrátky. Jeden z těchto příkazů je navržen tak, aby usnadnil stahování konvenční verze malwaru PlugX.

Bezpečnostní experti také odhalili varianty DOPLUGS, které obsahují modul nazvaný KillSomeOne . Tento plugin slouží k mnoha účelům, včetně distribuce malwaru, shromažďování informací a krádeží dokumentů prostřednictvím jednotek USB.

Tato konkrétní varianta DOPLUGS obsahuje další odpalovací komponent. Tato komponenta spouští legitimní spustitelný soubor využívající techniky načítání na straně DLL. Kromě toho podporuje funkce, jako je provádění příkazů a stahování malwaru další fáze ze serveru ovládaného aktérem hrozby.

Na zakázku vyrobená varianta PlugX s modulem KillSomeOne, speciálně navržená pro šíření prostřednictvím USB disků, byla objevena již v lednu 2020 výzkumníky společnosti Infosec. Malware byl nasazen jako součást série útoků zaměřených na Hongkong a Vietnam.

Na konci roku 2023 byla odhalena kampaň Mustang Panda zaměřená na tchajwanské politické, diplomatické a vládní subjekty využívající DOPLUGS. Útočná operace vykazovala charakteristickou vlastnost – škodlivá knihovna DLL byla vytvořena pomocí programovacího jazyka Nim. Na rozdíl od svých předchůdců tato nová varianta využívá jedinečnou implementaci algoritmu RC4 pro dešifrování PlugX, který se liší od konvenčního použití knihovny Windows Cryptsp.dll v předchozích verzích.