DOPLUGS דלת אחורית

המוסטנג פנדה, שחקן איומים עם קשרים לסין, השתמש בגרסה מותאמת אישית של הדלת האחורית PlugX (הידועה גם בשם Korplug ), המכונה DOPLUGS, כדי להתמקד בכמה מדינות באסיה. גרסה מותאמת זו של התוכנה הזדונית PlugX שונה מהגרסה הטיפוסית בכך שהיא חסרה מודול פקודה משולב מלא בדלת אחורית; במקום זאת, הוא תוכנן במיוחד להורדת המודול האחרון. המוקד העיקרי של התקפות DOPLUGS היה על מטרות הממוקמות בטייוואן ובווייטנאם, עם פחות מקרים בהונג קונג, הודו, יפן, מלזיה, מונגוליה ואפילו סין.

מאמינים כי מוסטנג פנדה פעילה כבר יותר מעשור

המוסטנג פנדה, המוכרת גם בכינויים שונים, כגון BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 ו-TEMP.Hex מסתמכת במידה רבה על השימוש ב-PlugX ככלי ליבה. . שחקן האיום הזה פעיל לפחות מאז 2012, אם כי פעילותו זכתה לתשומת לב ציבורית ב-2017.

אופן הפעולה של מוסטנג פנדה כולל ביצוע קמפיינים של ספייר דיוג מוקפדים שנועדו לספק מגוון תוכנות זדוניות מותאמות אישית. מאז 2018, ידוע ששחקן האיומים פורס גרסאות מותאמות אישית משלו של PlugX, כולל RedDelta , Thor, Hodur ו-DOPLUGS (מופץ באמצעות קמפיין בשם SmugX).

רשתות הפשרה המתוזמרות על ידי מוסטנג פנדה נוקטות בשורה של טקטיקות מתוחכמות. אלה כוללים שימוש בהודעות דיוג כמנגנון מסירה למטען שלב ראשון. מטען זה, תוך הצגת מסמך מטעה לנמען, פורק בחשאי קובץ הפעלה לגיטימי, חתום, הרגיש לטעינת צד של DLL. טכניקת טעינת צד זו של DLL משמשת לאחר מכן לטעינת ספריית קישורים דינמיים (DLL), אשר מפענחת ומפעילה את התוכנה הזדונית PlugX.

לאחר הפריסה, התוכנה הזדונית PlugX ממשיכה לאחזר את Poison Ivy Remote Access Trojan (RAT) או את Cobalt Strike Beacon, תוך יצירת חיבור עם שרת הנשלט על ידי Mustang Panda. רצף הפעולות המורכב הזה מדגיש את האופי המתקדם והמתמשך של פעולות הסייבר של מוסטנג פנדה.

הדלת האחורית של DOPLUGS היא תוספת חדשה לארסנל תוכנות זדוניות של קבוצת פושעי סייבר

נצפה לראשונה על ידי חוקרים בספטמבר 2022, DOPLUGS מתפקד בתור הורדה המצויד בארבע פקודות דלת אחורית ברורות. יש לציין שאחת הפקודות הללו נועדה להקל על ההורדה של הגרסה הקונבנציונלית של התוכנה הזדונית PlugX.

מומחי אבטחה זיהו גם וריאציות של DOPLUGS המשלבות מודול בשם KillSomeOne . תוסף זה משרת מספר מטרות, כולל הפצת תוכנות זדוניות, איסוף מידע וגניבת מסמכים דרך כונני USB.

הגרסה הספציפית הזו של DOPLUGS כוללת רכיב משגר נוסף. רכיב זה מפעיל קובץ הפעלה לגיטימי, תוך שימוש בטכניקות טעינת צד של DLL. יתר על כן, הוא תומך בפונקציונליות כגון ביצוע פקודות והורדת התוכנה הזדונית בשלב הבא משרת הנשלט על ידי שחקן האיום.

גרסת PlugX מותאמת אישית הכוללת את מודול KillSomeOne, שתוכננה במיוחד להפצה דרך כונני USB, נחשפה כבר בינואר 2020 על ידי חוקרי infosec. התוכנה הזדונית נפרסה כחלק מסדרת התקפות נגד הונג קונג ווייטנאם.

בסוף 2023, הועלה קמפיין מוסטנג פנדה שנועד לגורמים פוליטיים, דיפלומטיים וממשלתיים בטייוואן המשתמשים ב-DOPLUGS. פעולת ההתקפה הציגה מאפיין ייחודי - ה-DLL המזיק נוצר באמצעות שפת התכנות נים. שלא כמו קודמותיה, גרסה חדשה זו משתמשת ביישום ייחודי של אלגוריתם RC4 לפענוח PlugX, החורג מהשימוש המקובל בספריית Windows Cryptsp.dll בגרסאות קודמות.