DOPLUGS-Hintertür

Der Mustang Panda, ein Bedrohungsakteur mit Verbindungen zu China, hat eine angepasste Variante der PlugX-Hintertür (auch bekannt als Korplug ), bekannt als DOPLUGS, eingesetzt, um mehrere asiatische Länder anzugreifen. Diese maßgeschneiderte Version der PlugX-Malware unterscheidet sich von der typischen Variante durch das Fehlen eines vollständig integrierten Backdoor-Befehlsmoduls; Stattdessen ist es speziell für das Herunterladen des letztgenannten Moduls konzipiert. Der Schwerpunkt der DOPLUGS-Angriffe lag auf Zielen in Taiwan und Vietnam, seltener kam es in Hongkong, Indien, Japan, Malaysia, der Mongolei und sogar China vor.

Es wird angenommen, dass der Mustang Panda seit mehr als einem Jahrzehnt aktiv ist

Der Mustang Panda, auch bekannt unter verschiedenen Aliasnamen wie BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 und TEMP.Hex, ist stark auf die Verwendung von PlugX als Kernwerkzeug angewiesen . Dieser Bedrohungsakteur ist seit mindestens 2012 aktiv, obwohl seine Aktivitäten im Jahr 2017 öffentliche Aufmerksamkeit erlangten.

Die Vorgehensweise des Mustang Panda besteht darin, sorgfältig ausgearbeitete Spear-Phishing-Kampagnen durchzuführen, die darauf ausgelegt sind, eine Reihe maßgeschneiderter Malware zu verbreiten. Seit 2018 ist bekannt, dass der Bedrohungsakteur seine eigenen angepassten Versionen von PlugX einsetzt, darunter RedDelta , Thor, Hodur und DOPLUGS (vertrieben über eine Kampagne namens SmugX).

Die vom Mustang Panda orchestrierten Kompromissketten nutzen eine Reihe ausgefeilter Taktiken. Dazu gehört die Verwendung von Phishing-Nachrichten als Übermittlungsmechanismus für eine Nutzlast der ersten Stufe. Während diese Nutzlast dem Empfänger ein Scheindokument präsentiert, entpackt sie heimlich eine legitime, signierte ausführbare Datei, die für DLL-Sideloading anfällig ist. Diese DLL-Seitenladetechnik wird dann verwendet, um eine Dynamic Link Library (DLL) zu laden, die die PlugX-Malware entschlüsselt und ausführt.

Nach der Bereitstellung ruft die PlugX-Malware entweder den Poison Ivy Remote Access Trojan (RAT) oder den Cobalt Strike Beacon ab und baut eine Verbindung mit einem vom Mustang Panda kontrollierten Server auf. Diese komplizierte Abfolge von Aktionen unterstreicht die fortschrittliche und beharrliche Natur der Cyberoperationen von Mustang Panda.

Die DOPLUGS-Backdoor ist eine neue Ergänzung zum Malware-Arsenal einer Cyberkriminellengruppe

DOPLUGS wurde erstmals im September 2022 von Forschern entdeckt und fungiert als Downloader, der mit vier verschiedenen Backdoor-Befehlen ausgestattet ist. Insbesondere soll einer dieser Befehle das Herunterladen der herkömmlichen Version der PlugX-Malware erleichtern.

Sicherheitsexperten haben auch Varianten von DOPLUGS entdeckt, die ein Modul namens KillSomeOne enthalten. Dieses Plugin dient mehreren Zwecken, einschließlich der Verbreitung von Malware, der Sammlung von Informationen und dem Diebstahl von Dokumenten über USB-Laufwerke.

Diese spezielle Variante von DOPLUGS enthält eine zusätzliche Launcher-Komponente. Diese Komponente führt eine legitime ausführbare Datei aus und nutzt DLL-Sideloading-Techniken. Darüber hinaus unterstützt es Funktionen wie die Befehlsausführung und das Herunterladen der Malware der nächsten Stufe von einem Server, der vom Bedrohungsakteur kontrolliert wird.

Eine maßgeschneiderte PlugX-Variante mit dem KillSomeOne-Modul, die speziell für die Verbreitung über USB-Laufwerke entwickelt wurde, wurde bereits im Januar 2020 von Infosec-Forschern entdeckt. Die Malware wurde im Rahmen einer Reihe von Angriffen auf Hongkong und Vietnam eingesetzt.

Ende 2023 wurde eine Mustang-Panda-Kampagne ans Licht gebracht, die sich an taiwanesische politische, diplomatische und staatliche Stellen richtete, die DOPLUGS nutzen. Der Angriff wies ein charakteristisches Merkmal auf: Die schädliche DLL wurde mithilfe der Programmiersprache Nim erstellt. Im Gegensatz zu seinen Vorgängern verwendet diese neue Variante eine einzigartige Implementierung des RC4-Algorithmus zum Entschlüsseln von PlugX und weicht damit von der herkömmlichen Verwendung der Windows-Bibliothek Cryptsp.dll in früheren Versionen ab.