PlugX הוא כלי גישה מרחוק אשר קיים מאז 2008 יש והיסטוריה לשמצה בתור זדוניות. לדברי החוקרים, כלי הפך די פעיל ופופולרי 2014 ומשמש g0-מנת תוכנות זדוניות עבור קבוצות יריבות רבות.
עסקה גדולה של ההתקפות, כלומר אלה שהתרחשו במהלך המחצית השנייה של 2014, כבר באמצעות כלי זה. לדברי החוקרים, ה PlugX התפשטות נוספת תאפשר לתוקפי כניסה קשה, כדי להעתיק ולשנות קבצים, כדי ללכוד צילומי מסך, כדי לצאת מתהליכים, גם כדי להתנתק המשתמשים וכדי לעשות אתחול מלא של מכונות.
דו"ח האיום הגלובלי ידי Crowdstrike, אשר שוחרר אתמול, מאשר כי תוכנה זדונית זו הייתה בשימוש הטוב ביותר בכל קשור לפעילות ממוקדת 2014. התוכנה הזדונית היא כיום הכלי לקבוצות יריבות רבות המבוססות בסין.
בין דרכי התוכנות הזדוניות השתפרו 2014 אז נתפס על, היה על ידי שינוי הדרך שבה הוא מתקשר עם התשתית שלה במעלה השרשרת. התוכנה הזדונית מיישמת מודול DNS חדש לשליטה ובקרה ולכן היא מסוגלת לשלוח נתונים בכפוף בצורת שאילתות DNS הארוכות לתשתית הפיקוח.
במילים אחרות, התוכנה הזדונית שינוי האופן שבו בקשות HTTP ו- DNS מיוצרות. תהליך זה נקרא על ידי Crowdstrike סטייה מן הפרוטוקולים פיקוח בדרך כלל וזה מקשה על תוכנות זדוניות כדי להיות מזוהה על ידי החוקרים. השימוש המוגבר PlugX מצביע על אמון רב יותר את היכולות של הפלטפורמה, מצדיק שימוש ממושך שלה על פני מדינות רבות ומגזרים.
Crowdstrike תפס קבוצה המשתמשת PlugX על מכונות, אשר הולך תחת השם הוריקן פנדה. הקולקטיב הפריצה משתמש בתכונת ה- DNS המנהג של התוכנה הזדונית על מנת לזייף ארבעה שרתי DNS עם תחומים פופולריים כמו Adobe.com, Pinterest.com ו Github.com. התוכנה הזדונית חליף כתובות IP הלגיטימית שלהם, הגדרת אותם להצביע תחומים אלה לצומת + C PlugX C.
התוכנה הזדונית בדרך כלל מתפשטת באמצעות התקפת פישינג. בחלק ממקרי ההתקפות להמשיך למנף אפס יום CVE-2014-1761 מנצל Word פגיע ומסמכי RTF מיקרוסופט. אחרים משתמשים חורים השחוקים כגון CVE-2012-0158 ב- Excel ו- PowerPoint. המכתב היה בשימוש בענן אטלס, התקפות אוקטובר הנה התירגום האדום.
חוקרים מאשרים כי חלק פושעי סייבר מי משתמש PlugX נרשמו תחומים חדשים של מינוף ה- C + C של תוכנות זדוניות. למרות זאת, תחומי מבוגרים עדיין פעילים. משמעות הדבר היא כי תוכנות זדוניות מציגה התמדה לאורך השנים.
איך תוכנה זדונית זו הצליחה להיות כל כך נפוצה?
ישנן שתי גרסאות:
- יש ערוץ הפצה מרכזי זדוני אשר דוחף PlugX לקבוצות היריבות או.
- ישנן קבוצות שלא השתמשו PlugX וקבלו עותקים של אותו באמצעות ופושעי אינטרנט או מאגרים ציבוריים.
בשני המקרים, התוכנות הזדוניות בדרך כלל משמשות את התוקפים שמגיעים מסין או למדינות תחת השפעת סין. תוכנות זדוניות זה שימשו להתקפות פוליטיות התקפות חוזרות נגד גופים מסחריים שונים בארצות הברית. לדברי Crowdstrike אולם, ההתפשטות המהירה של התוכנות הזדוניות יכולה להיות סימן לשימוש שלה בעתיד על בסיס כלל עולמי.
ההתפתחות המתמדת של PlugX מאבטח יכולת גמישה של התוקפים ודורשת ערנות רצינית ידי מגיני הרשת כדי לזהות ולחסום אותו.