PlugX er en fjernadgang værktøj, der har eksisteret siden 2008 og har berygtet historie som en malware. Ifølge forskerne, værktøjet blev ganske aktiv og populær i 2014 og fungerer som en G0-til malware for mange fjendtlige grupper.
Stor del af angrebene, nemlig dem, der fandt sted i anden halvdel af 2014, har brugt dette værktøj. Ifølge forskerne, den PlugX yderligere spredning skal gøre det muligt for angribere at logge tastetryk, at kopiere og ændre filer, at fange skærmbilleder, at holde op processer, og også at logge brugerne og gøre fuldstændig genstart af maskinerne.
Global Threat Report fra Crowdstrike, som blev offentliggjort i går, bekræfter, at denne malware var bedst brugt en i forhold til målrettet aktivitet i 2014. Den malware er nu redskab for mange kontradiktorisk grupper baseret i Kina.
Blandt de måder malware forbedret i 2014 og blev derefter fanget på, var ved at ændre den måde, som den kommunikerer med sin infrastruktur op kæden. Den malware er ved at gennemføre en ny DNS-modul for kommando og kontrol, og er således i stand til at sende sine data i form af lange DNS-forespørgsler til at føre tilsyn med infrastrukturen.
Med andre ord, malware er at ændre den måde, som HTTP og DNS-anmodninger produceres. Denne proces kaldes af Crowdstrike en afvigelse fra typisk overvågede protokoller og det gjorde det vanskeligt for malware at blive opdaget af forskerne. Den øgede brug af PlugX indikerer en større tillid til platformens muligheder, som begrunder sin længere tids brug på tværs af flere lande og sektorer.
Crowdstrike har fanget en gruppe, der bruger PlugX på maskiner, som går under navnet Hurricane Panda. Den hacking kollektive bruger den brugerdefinerede DNS træk ved malware for at efterligne fire DNS-servere med domæner så populær som Adobe.com, Pinterest.com og Github.com. Den malware udskiftet deres legitime IP-adresser, indstille dem til at pege disse domæner til en PlugX C C node.
Den malware er normalt spredes gennem et phishing-angreb. I nogle tilfælde angrebene gå på at udnytte et nul dages CVE-2014-1761, der udnytter sårbare Word og RTF Microsoft-dokumenter. Andre bruger de slidte huller såsom CVE-2012-0158 i Excel og PowerPoint. Brevet blev brugt i Cloud Atlas, Røde Oktober og IceFrog angreb.
Forskere bekræfter, at nogle af de cyberkriminelle, der bruger PlugX har registreret nye domæner til at udnytte C C for malware. Dog, ældre domæner er stadig aktive. Det betyder, at malware viser vedholdenhed i årenes løb.
Hvordan dette malware formået at blive så almindeligt?
Der er to varianter:
- Der er en central malware udbredelse kanal, der presser PlugX for modparten grupper eller.
- Der er grupper, der ikke har anvendt PlugX og fik kopier af det gennem cyberkriminelle eller offentlige arkiver.
I begge tilfælde, malware er normalt bruges af angriberne, der kommer fra Kina eller for lande under indflydelse af Kina. Dette malware er blevet anvendt i politiske angreb og tilbagevendende angreb mod forskellige kommercielle enheder i USA. Ifølge Crowdstrike imidlertid, den hurtige spredning af malware kan være et tegn for dens fremtidige brug på verdensplan.
Den konstante udvikling af PlugX sikrer fleksibel evne angriberne og kræver seriøs årvågenhed af netværket beskyttere til at opdage og blokere det.