PlugX è uno strumento di accesso remoto che esiste dal 2008 e ha la storia noto come il malware. Secondo i ricercatori, lo strumento è diventato molto attivo e popolare in 2014 e funge da g0-malware per molti gruppi avversari.
Ottimo affare degli attacchi, vale a dire quelli che si sono verificati durante la seconda metà del 2014, sono state utilizzando tale strumento. Secondo i ricercatori, il PlugX ulteriore proliferazione devono consentire gli aggressori di accedere battiture, di copiare e modificare i file, per catturare screenshot, per uscire processi, e anche per disconnettere gli utenti e per rendere completo il riavvio delle macchine.
Il Rapporto Global Threat da Crowdstrike, che ieri è stato rilasciato, conferma che questo malware è stato il migliore usato uno per quanto riguarda l'attività mirata 2014. Il malware è ormai lo strumento per molti gruppi in contraddittorio con sede in Cina.
Tra i modi il malware migliorata in 2014 ed è stato poi catturato, era alterando il modo in cui esso comunica con la sua infrastruttura la catena. Il malware sta attuando un nuovo modulo DNS di comando e controllo ed è quindi in grado di inviare i dati sotto forma di query DNS lunghi all'infrastruttura sorveglianza.
In altre parole, il malware sta modificando il modo in cui HTTP e DNS richieste sono prodotti. Questo processo è chiamato da Crowdstrike, con superamento dei protocolli tipicamente monitorati e questo ha reso difficile per il malware venga rilevato dai ricercatori. Il maggiore utilizzo di PlugX indica una maggiore fiducia nella capacità della piattaforma, che giustifica il suo uso prolungato in più paesi e settori.
Crowdstrike ha catturato un gruppo che utilizza PlugX su macchine, che va sotto il nome di Hurricane Panda. Il collettivo hacker utilizza la funzionalità DNS personalizzato del malware al fine di falsificare quattro server DNS con i domini così popolare come Adobe.com, Pinterest.com e Github.com. Il malware ha sostituito i loro indirizzi IP legittimi, impostandole a punto questi domini a un nodo PlugX C C.
Il malware viene di solito si sviluppa attraverso un attacco di phishing. In alcuni casi, gli attacchi continuano a sfruttare una zero day CVE-2014-1761 che sfrutta Word vulnerabile e documenti RTF di Microsoft. Altri usano i fori usurati, come CVE-2012-0158 in Excel e PowerPoint. La lettera è stata usata nel Cloud Atlas, Attacchi Red ottobre e Icefrog.
I ricercatori confermano che alcuni dei cyber criminali che utilizzano PlugX hanno registrato nuovi domini per sfruttare la C C del malware. Tuttavia, domini più anziani sono ancora attivi. Ciò significa che il malware mostra la persistenza nel tempo.
Come questo malware è riuscito a diventare così comune?
Ci sono due varianti:
- C'è un canale centrale di diffusione di malware che sta spingendo PlugX ai gruppi avversarie o.
- Ci sono gruppi che non hanno utilizzato PlugX e ottenuto copie di esso attraverso criminali o repository pubblici.
In entrambi i casi, il malware viene di solito utilizzato dagli aggressori che provengono dalla Cina o per i paesi sotto l'influenza della Cina. Questo malware sono stati utilizzati in attacchi politici e attacchi ricorrenti contro varie entità commerciali negli Stati Uniti. Secondo Crowdstrike tuttavia, la rapida diffusione del malware potrebbe essere un segno per il suo futuro utilizzo a livello mondiale.
Il costante sviluppo di PlugX assicura capacità flessibile degli attaccanti e richiede una seria vigilanza da parte delle protezioni di rete per rilevare e bloccare.