DOPLUGS Tagauks

Hiinaga seotud ohustaja Mustang Panda on mitme Aasia riigi sihtimiseks kasutanud PlugX-i (tuntud ka kui Korplug ) tagaukse kohandatud varianti, mida nimetatakse DOPLUGSiks. See PlugX-i pahavara kohandatud versioon erineb tüüpilisest variandist, kuna sellel puudub täielikult integreeritud tagaukse käsumoodul; selle asemel on see spetsiaalselt loodud viimase mooduli allalaadimiseks. DOPLUGS-i rünnakute põhirõhk on olnud Taiwanis ja Vietnamis asuvatel sihtmärkidel, harvemini Hongkongis, Indias, Jaapanis, Malaisias, Mongoolias ja isegi Hiinas.

Arvatakse, et Mustang Panda on olnud aktiivne rohkem kui kümme aastat

Mustang Panda, mida tuntakse ka erinevate varjunimedega, nagu BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 ja TEMP.Hex tugineb suuresti PlugX-i kasutamisele põhitööriistana. . See ohutegija on tegutsenud vähemalt 2012. aastast, kuigi tema tegevus pälvis avalikkuse tähelepanu 2017. aastal.

Mustang Panda tööpõhimõte hõlmab hoolikalt koostatud andmepüügikampaaniate läbiviimist, mis on loodud mitmesuguste kohandatud pahavara edastamiseks. Alates 2018. aastast on ohutegija teadaolevalt juurutanud oma PlugX-i kohandatud versioone, sealhulgas RedDelta , Thor, Hodur ja DOPLUGS (levitatakse kampaania nimega SmugX).

Mustang Panda korraldatud kompromissketid kasutavad mitmeid keerukaid taktikaid. Nende hulka kuulub andmepüügisõnumite kasutamine esimese etapi kasuliku koormuse edastamismehhanismina. See kasulik koormus, esitades saajale peibutusdokumendi, pakib salaja lahti seadusliku allkirjastatud käivitatava faili, mis on vastuvõtlik DLL-i külglaadimisele. Seda DLL-i külglaadimise tehnikat kasutatakse seejärel dünaamilise lingi teegi (DLL) laadimiseks, mis dekrüpteerib ja käivitab PlugX-i pahavara.

Pärast juurutamist hangib PlugX pahavara Poison Ivy Remote Access Trojan (RAT) või Cobalt Strike Beaconi, luues ühenduse Mustang Panda juhitava serveriga. See keerukas toimingute jada tõstab esile Mustang Panda küberoperatsioonide arenenud ja püsiva olemuse.

DOPLUGSi tagauks on uus täiendus küberkurjategijate grupi pahavara arsenali

Algselt täheldasid teadlased 2022. aasta septembris, DOPLUGS toimib allalaadijana, mis on varustatud nelja erineva tagaukse käsuga. Üks neist käskudest on mõeldud PlugX-i pahavara tavapärase versiooni allalaadimise hõlbustamiseks.

Turvaeksperdid on tuvastanud ka DOPLUGS-i variatsioone, mis sisaldavad moodulit nimega KillSomeOne . Sellel pistikprogrammil on mitu eesmärki, sealhulgas pahavara levitamine, teabe kogumine ja dokumentide vargused USB-draivi kaudu.

See konkreetne DOPLUGS-i variant sisaldab täiendavat käivituskomponenti. See komponent käivitab seadusliku käivitatava faili, kasutades DLL-i külglaadimise tehnikaid. Lisaks toetab see selliseid funktsioone nagu käsu täitmine ja järgmise etapi pahavara allalaadimine serverist, mida kontrollib ohutegija.

Infoseci uurijad avastasid juba 2020. aasta jaanuaris eritellimusel valmistatud PlugX-i variandi, mis sisaldab moodulit KillSomeOne, mis on spetsiaalselt loodud USB-draivide kaudu levitamiseks. Pahavara kasutati Hongkongi ja Vietnami sihtmärgiks olnud rünnakute seeria osana.

2023. aasta lõpus toodi päevavalgele Mustang Panda kampaania, mis oli suunatud DOPLUGSi kasutavatele Taiwani poliitilistele, diplomaatilistele ja valitsusüksustele. Rünnakuoperatsioonil oli iseloomulik tunnus – kahjulik DLL loodi programmeerimiskeelega Nim. Erinevalt oma eelkäijatest kasutab see uus variant PlugX-i dekrüpteerimiseks ainulaadset RC4 algoritmi teostust, mis erineb Windows Cryptsp.dll teegi tavapärasest kasutamisest eelmistes versioonides.