Mustang Panda, Gelişmiş PlugX Varyantı DOPLUGS ile Asya'yı Hedefliyor
Mustang Panda olarak bilinen Çin bağlantılı tehdit aktörü, DOPLUGS adlı PlugX (diğer adıyla Korplug) arka kapısının bir çeşidini kullanarak çeşitli Asya ülkelerini hedef aldı.
Trend Micro araştırmacıları Sunny Lu ve Pierre Lee, yeni bir teknik yazıda, "Özelleştirilmiş PlugX kötü amaçlı yazılım parçası, tamamlanmış bir arka kapı komut modülü içeren PlugX kötü amaçlı yazılımının genel türünden farklıdır ve birincisi yalnızca ikincisini indirmek için kullanılır" dedi.
DOPLUGS'un hedefleri öncelikle Tayvan ve Vietnam'da ve daha az ölçüde Hong Kong, Hindistan, Japonya, Malezya, Moğolistan ve hatta Çin'de bulunmaktadır.
PlugX, BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 ve TEMP olarak da izlenen Mustang Panda'nın temel aracıdır. Büyü. İlk olarak 2017'de ortaya çıkmasına rağmen, en az 2012'den beri aktif olduğu biliniyor.
Tehdit aktörünün ticari becerisi, çeşitli özel kötü amaçlı yazılımlar sunmak için tasarlanmış, iyi oluşturulmuş hedef odaklı kimlik avı kampanyaları yürütmeyi gerektirir. Ayrıca, 2018'den beri RedDelta, Thor, Hodur ve DOPLUGS (SmugX adlı bir kampanya aracılığıyla dağıtılan) gibi kendi özelleştirilmiş PlugX varyantlarını dağıtma geçmişine sahiptir.
Uzlaşma zincirleri, alıcıya sahte bir belge görüntülerken, bir dinamik bağlantı kitaplığını (DLL) yandan yüklemek için DLL yandan yüklemeye karşı savunmasız olan meşru, imzalı bir yürütülebilir dosyayı gizlice açan ve sırayla PlugX'in şifresini çözen ve yürüten birinci aşama bir yükü teslim etmek için kimlik avı mesajlarını bir kanal olarak kullanarak bir dizi farklı taktikten yararlanır.
PlugX kötü amaçlı yazılımı daha sonra Mustang Panda tarafından kontrol edilen bir sunucuyla bağlantı kurmak için Poison Ivy uzaktan erişim truva atını (RAT) veya Cobalt Strike Beacon'ı alır.
Aralık 2023'te Lab52, DOPLUGS ile Tayvanlı siyasi, diplomatik ve devlet kurumlarını hedef alan bir Mustang Panda kampanyasını ortaya çıkardı, ancak dikkate değer bir farkla.
Lab52, "Kötü amaçlı DLL, Nim programlama dilinde yazılmıştır" dedi. "Bu yeni varyant, Windows Cryptsp.dll kitaplığını kullanan önceki sürümlerin aksine, PlugX'in şifresini çözmek için RC4 algoritmasının kendi uygulamasını kullanıyor."
İlk olarak Eylül 2022'de Secureworks tarafından belgelenen DOPLUGS, biri PlugX kötü amaçlı yazılımının genel türünü indirmek için düzenlenmiş dört arka kapı komutuna sahip bir indiricidir.
Trend Micro, kötü amaçlı yazılım dağıtımından, bilgi toplamadan ve USB sürücüler aracılığıyla belge hırsızlığından sorumlu bir eklenti olan KillSomeOne olarak bilinen bir modülle entegre edilmiş DOPLUGS örneklerini de tanımladığını söyledi.
Bu varyant, komutları çalıştırmak ve bir sonraki aşama kötü amaçlı yazılımı aktör tarafından kontrol edilen bir sunucudan indirmek için işlevselliği desteklemenin yanı sıra, DLL tarafı yüklemesini gerçekleştirmek için meşru yürütülebilir dosyayı yürüten ekstra bir başlatıcı bileşeni ile donatılmıştır.
KillSomeOne modülünü içeren ve USB üzerinden yayılmak üzere tasarlanmış özelleştirilmiş bir PlugX varyantının, Hong Kong ve Vietnam'a yönelik saldırıların bir parçası olarak Avira tarafından Ocak 2020 gibi erken bir tarihte ortaya çıkarıldığını belirtmekte fayda var.
Araştırmacılar, "Bu, Earth Preta'nın bir süredir araçlarını geliştirdiğini ve sürekli olarak yeni işlevler ve özellikler eklediğini gösteriyor" dedi. "Grup, özellikle Avrupa ve Asya'da oldukça aktif olmaya devam ediyor."
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı