DOPLUGS Aizmugures durvis

Mustang Panda, draudu aktieris, kas saistīts ar Ķīnu, ir izmantojis pielāgotu PlugX (pazīstams arī kā Korplug ) aizmugurējo durvju variantu, ko dēvē par DOPLUGS, lai mērķētu uz vairākām Āzijas valstīm. Šī pielāgotā PlugX ļaunprogrammatūras versija atšķiras no tipiskā varianta ar to, ka tajā nav pilnībā integrēta aizmugures durvju komandu moduļa; tā vietā tas ir īpaši paredzēts pēdējā moduļa lejupielādei. DOPLUGS uzbrukumu galvenā uzmanība tika pievērsta mērķiem, kas atrodas Taivānā un Vjetnamā, bet mazāk gadījumu Honkongā, Indijā, Japānā, Malaizijā, Mongolijā un pat Ķīnā.

Tiek uzskatīts, ka Mustang Panda ir bijusi aktīva vairāk nekā desmit gadus

Mustang Panda, kas pazīstama arī ar dažādiem aizstājvārdiem, piemēram, BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 un TEMP.Hex lielā mērā ir atkarīga no PlugX kā galvenā rīka izmantošanas. . Šis draudu aktieris ir bijis aktīvs vismaz kopš 2012. gada, lai gan sabiedrības uzmanību tā darbība guva 2017. gadā.

Mustang Panda darbības veids ietver rūpīgi izstrādātu pikšķerēšanas kampaņu izpildi, kas paredzētas dažādas pielāgotas ļaunprātīgas programmatūras piegādei. Ir zināms, ka kopš 2018. gada draudu izpildītājs ir izvietojis savas pielāgotās PlugX versijas, tostarp RedDelta , Thor, Hodur un DOPLUGS (tiek izplatītas, izmantojot kampaņu ar nosaukumu SmugX).

Kompromisa ķēdēs, ko organizē Mustang Panda, tiek izmantota virkne izsmalcinātu taktiku. Tie ietver pikšķerēšanas ziņojumu izmantošanu kā pirmās pakāpes kravas piegādes mehānismu. Šī derīgā slodze, uzrādot saņēmējam mānekļu dokumentu, slepeni izpako likumīgu, parakstītu izpildāmo failu, kas ir jutīgs pret DLL sānu ielādi. Pēc tam šī DLL sānu ielādes metode tiek izmantota, lai ielādētu dinamiskās saites bibliotēku (DLL), kas atšifrē un izpilda PlugX ļaunprogrammatūru.

Pēc izvietošanas PlugX ļaunprogrammatūra turpina izgūt vai nu Poison Ivy Remote Access Trojan (RAT) vai Cobalt Strike Beacon, izveidojot savienojumu ar serveri, kuru kontrolē Mustang Panda. Šī sarežģītā darbību secība izceļ Mustang Panda kiberoperāciju progresīvo un noturīgo raksturu.

DOPLUGS Backdoor ir jauns papildinājums kibernoziedznieku grupas ļaunprātīgas programmatūras arsenālam

Sākotnēji pētnieki novēroja 2022. gada septembrī, DOPLUGS darbojas kā lejupielādētājs, kas aprīkots ar četrām atšķirīgām aizmugures durvju komandām. Jo īpaši viena no šīm komandām ir paredzēta, lai atvieglotu PlugX ļaunprogrammatūras tradicionālās versijas lejupielādi.

Drošības eksperti ir arī atklājuši DOPLUGS variantus, kas ietver moduli ar nosaukumu KillSomeOne . Šis spraudnis kalpo vairākiem mērķiem, tostarp ļaunprātīgas programmatūras izplatīšanai, informācijas apkopošanai un dokumentu zādzībām, izmantojot USB diskus.

Šajā konkrētajā DOPLUGS variantā ir iekļauts papildu palaišanas komponents. Šis komponents izpilda likumīgu izpildāmo failu, izmantojot DLL sānu ielādes metodes. Turklāt tas atbalsta tādas funkcijas kā komandu izpilde un nākamās pakāpes ļaunprogrammatūras lejupielāde no servera, kuru kontrolē apdraudējuma dalībnieks.

Infosec pētnieki jau 2020. gada janvārī atklāja individuāli izgatavotu PlugX variantu, kurā ir KillSomeOne modulis un kas īpaši paredzēts izplatīšanai, izmantojot USB diskus. Ļaunprātīga programmatūra tika izvietota kā daļa no vairākiem uzbrukumiem, kuru mērķis bija Honkonga un Vjetnama.

2023. gada beigās tika atklāta Mustang Panda kampaņa, kuras mērķis bija Taivānas politiskās, diplomātiskās un valdības struktūras, kas izmanto DOPLUGS. Uzbrukuma operācijai bija raksturīga iezīme - kaitīgais DLL tika izveidots, izmantojot Nim programmēšanas valodu. Atšķirībā no tā priekšgājējiem, šajā jaunajā variantā ir izmantota unikāla RC4 algoritma ieviešana PlugX atšifrēšanai, kas atšķiras no Windows Cryptsp.dll bibliotēkas parastās izmantošanas iepriekšējās versijās.