PlugX ist ein Remote-Zugriff, dass seit existiert 2008 und hat berüchtigte Geschichte als Malware. Nach Angaben der Forscher, das Werkzeug wurde sehr aktiv und in der populären 2014 und dient als g0-Malware für viele Gegner Gruppen.
Großteil der Angriffe, nämlich die, die in der zweiten Hälfte des aufgetreten 2014, wurden mit diesem Werkzeug. Nach Angaben der Forscher, die PlugX weitere Proliferation werden die Angreifer ermöglichen, Tastatureingaben protokollieren, Kopieren und Modifizieren von Dateien, Screenshots erfassen, Prozesse beenden, und auch, um sich abzumelden die Benutzer und die vollständige Neustart der Maschinen machen.
Das Global Threat Report von Crowdstrike, die gestern veröffentlicht wurde, bestätigt, dass diese Malware wurde das beste in verwendet in Bezug auf gezielte Aktivität 2014. Die Malware ist jetzt das Werkzeug für viele gegnerische Gruppen in China.
Zu den Möglichkeiten, die Malware verbessert in 2014 und wurde dann auf den Zug aufge, wurde durch Verändern der Art, in der sie mit der Infrastruktur die Kette kommuniziert. Die Malware ist die Umsetzung einer neuen DNS-Modul für die Steuerung und ist somit in der Lage, ihre Daten in Form von langen DNS-Abfragen an die Überwachung der Infrastruktur senden.
Mit anderen Worten, die Malware geändert wird, wie HTTP und DNS-Anforderungen produziert werden. Dieser Prozess wird durch Crowdstrike eine Abweichung von den in der Regel überwacht Protokolle genannt und das machte es schwierig für die Malware an, die die Forscher festgestellt werden. Die verstärkte Nutzung von PlugX zeigt eine größere Vertrauen in Fähigkeiten der Plattform, die ihre längerer Nutzung über mehrere Länder und Sektoren rechtfertigt.
Crowdstrike hat eine Gruppe, die PlugX an Maschinen verwendet gefangen, was geht unter dem Namen Hurricane Panda. Der Hacker kollektiven verwendet die benutzerdefinierte DNS-Funktion der Malware, um vier DNS-Server mit der Domänen so populär wie fälschen Adobe.com, Pinterest.com und Github.com. Die Malware ersetzt ihre berechtigten IP-Adressen, Setzen sie diese Domains zu einem PlugX C C-Knoten zeigen.
Die Malware wird in der Regel durch einen Phishing-Angriff zu verbreiten. In einigen Fällen ist die Angriffe weitergehen, um eine Zero-Day-CVE-2014-1761, die anfällig Word- und RTF-Dokumente, Microsoft nutzt nutzen. Andere nutzen die abgenutzten Löcher wie CVE-2012-0158 in Excel und Powerpoint. Der Brief wurde in der Cloud Atlas verwendet, Roter Oktober und IceFrog Angriffe.
Forscher bestätigen, dass einige der Cyber-Kriminellen, die mit PlugX sind haben neue Bereiche für die Nutzung der C C der Malware registriert. Jedoch, ältere Domains noch aktiv sind. Das bedeutet, dass die Malware zeigt Ausdauer im Laufe der Jahre.
Wie diese Malware geschafft, so alltäglich geworden?
Es gibt zwei Varianten:
- Es gibt einen zentralen Kanal, der Malware-Verbreitung drängt PlugX den Gegner Gruppen oder.
- Es gibt Gruppen, die nicht durch Cyberkriminelle oder öffentlichen Repositorys verwendet haben PlugX und bekam Kopien davon.
In beiden Fällen, Die Malware wird in der Regel von den Angreifern, die aus China kommen oder für die Länder unter dem Einfluss von China verwendet. Diese Malware in politischen Angriffen und wiederkehrenden Angriffe auf verschiedene Wirtschaftsunternehmen in den Vereinigten Staaten verwendet wurde. Laut aber Crowdstrike, die rasche Ausbreitung der Malware könnte ein Zeichen für die zukünftige Verwendung auf einer weltweiten Basis sein.
Die ständige Entwicklung des PlugX sichert flexible Möglichkeit der Angreifer und erfordert ernsthafte Wachsamkeit von den Netzwerkschutz zu erkennen und zu blockieren.