Связанный с Китаем исполнитель угроз, известный как Mustang Panda, нацелился на различные азиатские страны, используя вариант бэкдора PlugX (он же Korplug), получивший название DOPLUGS.
"Часть настроенного вредоносного ПО PlugX отличается от общего типа вредоносного ПО PlugX, которое содержит готовый командный модуль backdoor, и что первый используется только для загрузки второго", - сказали исследователи Trend Micro Санни Лу и Пьер Ли в новом техническом отчете.
Цели DOPLUGS были в основном расположены на Тайване и Вьетнаме, и в меньшей степени в Гонконге, Индии, Японии, Малайзии, Монголии и даже Китае.
PlugX - основной инструмент Mustang Panda, который также отслеживается как BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 и TEMP.Hex. Известно, что он активен как минимум с 2012 года, хотя впервые о нем стало известно в 2017 году.
Мастерство злоумышленника заключается в проведении хорошо продуманных фишинговых кампаний, предназначенных для развертывания пользовательских вредоносных программ. Компания также имеет опыт развертывания собственных кастомизированных вариантов PlugX, таких как RedDelta, Thor, Hodur и DOPLUGS (распространяются через кампанию под названием SmugX) с 2018 года.
Компрометирующие цепочки используют набор различных тактик, используя фишинговые сообщения в качестве канала для доставки полезной нагрузки первого этапа, которая, одновременно показывая получателю фиктивный документ, скрытно распаковывает законный подписанный исполняемый файл, уязвимый для побочной загрузки DLL, для побочной загрузки библиотеки динамических ссылок (DLL), которая, в свою очередь, расшифровывает и выполняет PlugX.
Вредоносная программа PlugX впоследствии извлекает троянец удаленного доступа Poison Ivy (RAT) или Cobalt Strike Beacon для установления соединения с сервером, управляемым Mustang Panda.
В декабре 2023 года Lab52 обнаружила кампанию Mustang Panda, нацеленную на тайваньские политические, дипломатические и правительственные структуры с помощью DOPLUGS, но с заметным отличием.
"Вредоносная библиотека DLL написана на языке программирования Nim", - сказал Lab52. "В этом новом варианте для расшифровки PlugX используется собственная реализация алгоритма RC4, в отличие от предыдущих версий, использующих библиотеку Windows Cryptsp.dll".
DOPLUGS, впервые задокументированный Secureworks в сентябре 2022 года, представляет собой загрузчик с четырьмя бэкдор-командами, одна из которых предназначена для загрузки вредоносного ПО общего типа PlugX.
Trend Micro заявила, что также выявила образцы DOPLUGS, интегрированных с модулем, известным как KillSomeOne, плагином, который отвечает за распространение вредоносного ПО, сбор информации и кражу документов через USB-накопители.
Этот вариант оснащен дополнительным компонентом запуска, который запускает легитимный исполняемый файл для выполнения дополнительной загрузки DLL, в дополнение к вспомогательной функциональности для запуска команд и загрузки вредоносного ПО следующего этапа с сервера, контролируемого участником.
Стоит отметить, что специализированный вариант PlugX, включающий модуль KillSomeOne, предназначенный для распространения через USB, был обнаружен Avira еще в январе 2020 года в рамках атак, направленных против Гонконга и Вьетнама.
"Это показывает, что Earth Preta уже некоторое время совершенствует свои инструменты, постоянно добавляя новые функциональные возможности", - сказали исследователи. "Группа остается очень активной, особенно в Европе и Азии".
"Часть настроенного вредоносного ПО PlugX отличается от общего типа вредоносного ПО PlugX, которое содержит готовый командный модуль backdoor, и что первый используется только для загрузки второго", - сказали исследователи Trend Micro Санни Лу и Пьер Ли в новом техническом отчете.
Цели DOPLUGS были в основном расположены на Тайване и Вьетнаме, и в меньшей степени в Гонконге, Индии, Японии, Малайзии, Монголии и даже Китае.
PlugX - основной инструмент Mustang Panda, который также отслеживается как BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 и TEMP.Hex. Известно, что он активен как минимум с 2012 года, хотя впервые о нем стало известно в 2017 году.
Мастерство злоумышленника заключается в проведении хорошо продуманных фишинговых кампаний, предназначенных для развертывания пользовательских вредоносных программ. Компания также имеет опыт развертывания собственных кастомизированных вариантов PlugX, таких как RedDelta, Thor, Hodur и DOPLUGS (распространяются через кампанию под названием SmugX) с 2018 года.
Компрометирующие цепочки используют набор различных тактик, используя фишинговые сообщения в качестве канала для доставки полезной нагрузки первого этапа, которая, одновременно показывая получателю фиктивный документ, скрытно распаковывает законный подписанный исполняемый файл, уязвимый для побочной загрузки DLL, для побочной загрузки библиотеки динамических ссылок (DLL), которая, в свою очередь, расшифровывает и выполняет PlugX.
Вредоносная программа PlugX впоследствии извлекает троянец удаленного доступа Poison Ivy (RAT) или Cobalt Strike Beacon для установления соединения с сервером, управляемым Mustang Panda.
В декабре 2023 года Lab52 обнаружила кампанию Mustang Panda, нацеленную на тайваньские политические, дипломатические и правительственные структуры с помощью DOPLUGS, но с заметным отличием.
"Вредоносная библиотека DLL написана на языке программирования Nim", - сказал Lab52. "В этом новом варианте для расшифровки PlugX используется собственная реализация алгоритма RC4, в отличие от предыдущих версий, использующих библиотеку Windows Cryptsp.dll".
DOPLUGS, впервые задокументированный Secureworks в сентябре 2022 года, представляет собой загрузчик с четырьмя бэкдор-командами, одна из которых предназначена для загрузки вредоносного ПО общего типа PlugX.
Trend Micro заявила, что также выявила образцы DOPLUGS, интегрированных с модулем, известным как KillSomeOne, плагином, который отвечает за распространение вредоносного ПО, сбор информации и кражу документов через USB-накопители.
Этот вариант оснащен дополнительным компонентом запуска, который запускает легитимный исполняемый файл для выполнения дополнительной загрузки DLL, в дополнение к вспомогательной функциональности для запуска команд и загрузки вредоносного ПО следующего этапа с сервера, контролируемого участником.
Стоит отметить, что специализированный вариант PlugX, включающий модуль KillSomeOne, предназначенный для распространения через USB, был обнаружен Avira еще в январе 2020 года в рамках атак, направленных против Гонконга и Вьетнама.
"Это показывает, что Earth Preta уже некоторое время совершенствует свои инструменты, постоянно добавляя новые функциональные возможности", - сказали исследователи. "Группа остается очень активной, особенно в Европе и Азии".
