DOPLUGS Backdoor

Mustang Panda, akter grožnje s povezavami na Kitajsko, je uporabil prilagojeno različico stranskih vrat PlugX (znano tudi kot Korplug ), imenovano DOPLUGS, za ciljanje na več azijskih držav. Ta prilagojena različica zlonamerne programske opreme PlugX se od tipične različice razlikuje po tem, da nima popolnoma integriranega ukaznega modula za stranska vrata; namesto tega je zasnovan posebej za prenos slednjega modula. Primarni poudarek napadov DOPLUGS je bil na tarčah v Tajvanu in Vietnamu, z manjšimi pojavi v Hong Kongu, Indiji, na Japonskem, Maleziji, Mongoliji in celo na Kitajskem.

Mustang Panda naj bi bil aktiven že več kot desetletje

Mustang Panda, znan tudi pod različnimi vzdevki, kot so BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 in TEMP.Hex, se v veliki meri opira na uporabo PlugX kot osrednjega orodja. . Ta akter grožnje je aktiven vsaj od leta 2012, čeprav so njegove dejavnosti pritegnile pozornost javnosti leta 2017.

Način delovanja Mustang Panda vključuje izvajanje natančno izdelanih kampanj lažnega predstavljanja, ki so zasnovane za zagotavljanje vrste zlonamerne programske opreme po meri. Od leta 2018 je znano, da akter grožnje uvaja svoje lastne prilagojene različice PlugX, vključno z RedDelta , Thor, Hodur in DOPLUGS (distribuirane prek kampanje, imenovane SmugX).

Kompromisne verige, ki jih orkestrira Mustang Panda, uporabljajo vrsto prefinjenih taktik. Ti vključujejo uporabo sporočil z lažnim predstavljanjem kot mehanizma za dostavo koristnega tovora prve stopnje. Ta koristni tovor, medtem ko prejemniku predstavlja dokument z vabo, prikrito razpakira zakonito, podpisano izvršljivo datoteko, ki je dovzetna za stransko nalaganje DLL. Ta tehnika stranskega nalaganja DLL se nato uporabi za nalaganje dinamično povezovalne knjižnice (DLL), ki dešifrira in izvaja zlonamerno programsko opremo PlugX.

Ko je nameščena, zlonamerna programska oprema PlugX nadaljuje z iskanjem trojanca za oddaljeni dostop Poison Ivy (RAT) ali svetilnika Cobalt Strike Beacon in vzpostavi povezavo s strežnikom, ki ga nadzoruje Mustang Panda. To zapleteno zaporedje dejanj poudarja napredno in vztrajno naravo kibernetskih operacij Mustang Panda.

Backdoor DOPLUGS je nov dodatek k arzenalu zlonamerne programske opreme skupine kibernetskih kriminalcev

DOPLUGS, ki so ga raziskovalci sprva opazili septembra 2022, deluje kot prenosnik, opremljen s štirimi različnimi ukazi za stranska vrata. Predvsem je eden od teh ukazov zasnovan tako, da olajša prenos običajne različice zlonamerne programske opreme PlugX.

Varnostni strokovnjaki so odkrili tudi različice DOPLUGS, ki vključujejo modul, imenovan KillSomeOne . Ta vtičnik služi več namenom, vključno z distribucijo zlonamerne programske opreme, zbiranjem informacij in krajo dokumentov prek pogonov USB.

Ta posebna različica DOPLUGS vključuje dodatno komponento zaganjalnika. Ta komponenta izvaja zakonito izvršljivo datoteko z uporabo tehnik stranskega nalaganja DLL. Poleg tega podpira funkcije, kot sta izvajanje ukazov in prenos zlonamerne programske opreme naslednje stopnje s strežnika, ki ga nadzoruje akter grožnje.

Po meri izdelano različico PlugX z modulom KillSomeOne, posebej zasnovanim za širjenje prek pogonov USB, so raziskovalci infosec odkrili že januarja 2020. Zlonamerna programska oprema je bila uporabljena kot del niza napadov, namenjenih Hongkongu in Vietnamu.

Konec leta 2023 je bila razkrita kampanja Mustang Panda, namenjena tajvanskim političnim, diplomatskim in vladnim subjektom, ki uporabljajo DOPLUGS. Operacija napada je pokazala značilno značilnost - škodljiv DLL je bil izdelan s programskim jezikom Nim. Za razliko od svojih predhodnikov ta nova različica uporablja edinstveno izvedbo algoritma RC4 za dešifriranje PlugX, ki se razlikuje od običajne uporabe knjižnice Windows Cryptsp.dll v prejšnjih različicah.