PlugX est un outil d'accès à distance qui existe depuis 2008 et a l'histoire notoire comme un malware. Selon les chercheurs, l'outil est devenu très actif et populaire 2014 et sert de g0-aux logiciels malveillants pour de nombreux groupes de l'adversaire.
Beaucoup des attaques, à savoir ceux qui ont eu lieu au cours de la seconde moitié du 2014, ont eu recours à cet outil. Selon les chercheurs, le PlugX prolifération doit permettre aux attaquants de se connecter frappes, copier et modifier les fichiers, pour capturer les screenshots, à arrêter les opérations, et aussi de déconnecter les utilisateurs et de faire redémarrage complet des machines.
Le rapport de Global Threat par CrowdStrike, qui, hier, a été libéré, confirme que ce fichier a été le meilleur utilisé une en ce qui concerne l'activité ciblée 2014. Le malware est maintenant l'outil pour de nombreux groupes contradictoire basés en Chine.
Parmi les moyens le malware améliorée dans 2014 et a ensuite été pris sur, était en modifiant la façon dont elle communique avec l'infrastructure de la chaîne. Le malware met en œuvre un nouveau module DNS de commandement et de contrôle et est donc en mesure d'envoyer ses données sous la forme de requêtes DNS longues à l'infrastructure superviser.
En d'autres termes, le malware modifie la façon dont les demandes HTTP et DNS sont produites. Ce processus est appelé par CrowdStrike une déviation des protocoles généralement suivis et cela a rendu difficile pour le malware à détecter par les chercheurs. L'utilisation accrue de PlugX indique une plus grande confiance dans les capacités de la plateforme, ce qui justifie son utilisation prolongée dans plusieurs pays et secteurs.
CrowdStrike a pris un groupe qui utilise PlugX sur les machines, qui va sous le nom ouragan Panda. Le collectif de piratage utilise la fonctionnalité DNS personnalisé des logiciels malveillants afin d'usurper quatre serveurs DNS avec des domaines aussi populaire que Adobe.com, Pinterest.com et Github.com. Le malware remplacé leurs adresses IP légitimes, les mettre au point ces domaines à un noeud PlugX C C.
Le malware se propage habituellement par une attaque de phishing. Dans certains cas, les attaques vont à tirer parti d'une CVE-2014-1761 de jour zéro qui exploite Parole vulnérables et documents RTF Microsoft. D'autres utilisent les trous d'usure telles que CVE-2012-0158 dans Excel et PowerPoint. La lettre a été utilisé dans l'Atlas Couverture, Octobre Rouge et IceFrog attaques.
Les chercheurs confirment que certains des cyber-criminels qui utilisent PlugX ont enregistré de nouveaux domaines pour tirer parti de la C C du malware. Cependant, domaines plus âgés sont toujours actifs. Cela signifie que le malware montre la persistance au fil des ans.
Comment ce malware a réussi à devenir si banal?
Il existe deux variantes:
- Il est un canal de diffusion de logiciels malveillants centrale qui pousse PlugX aux groupes adverses ou.
- Il ya des groupes qui ne ont pas utilisés PlugX et a obtenu des copies de celui-ci par les cybercriminels ou dépôts publics.
Dans les deux cas,, le malware est généralement utilisé par les assaillants qui viennent de Chine ou des pays sous l'influence de la Chine. Ce malware ont été utilisés dans des attaques politiques et les attaques récurrentes contre différentes entités commerciales aux États-Unis. Selon cependant CrowdStrike, la propagation rapide du malware pourrait être un signe pour son utilisation future dans le monde entier.
Le développement constant de PlugX sécurise capacité souple des assaillants et nécessite une vigilance sérieux par les protecteurs du réseau pour détecter et bloquer.