PlugX is een remote access tool die bestaat sinds 2008 en heeft een beruchte geschiedenis als malware. Volgens de onderzoekers, het instrument werd heel actief en populair in 2014 en dient als een G0-malware voor vele tegenstander groepen.
Groot deel van de aanslagen, namelijk degenen die zich tijdens de tweede helft van 2014, met behulp van dat instrument zijn geweest. Volgens de onderzoekers, de PlugX verdere verspreiding zullen de aanvallers in staat stellen om toetsaanslagen loggen, kopiëren en bestanden aan te passen, om screenshots te vangen, om processen te stoppen, en ook om af te melden van de gebruikers en om volledige reboot van de machines maken.
Het Global Threat Report door Crowdstrike, die werd uitgebracht gisteren, bevestigt dat deze malware is het best gebruikt men met betrekking tot gerichte activiteit in 2014. De malware is nu de tool voor veel van hoor en wederhoor groepen op basis in China.
Een van de manieren waarop de malware verbeterd 2014 en werd vervolgens gevangen op, was het veranderen van de wijze waarop de communicatie met de infrastructuur van de keten. De malware is het implementeren van een nieuwe DNS-module voor commandovoering en is dus in staat om de gegevens onder de vorm van lange DNS-query's te sturen naar het toezicht op de infrastructuur.
Met andere woorden, de malware is de manier te wijzigen HTTP en DNS-verzoeken worden geproduceerd. Dit proces wordt door Crowdstrike een afwijking van de typisch gecontroleerd protocollen en bemoeilijkte de malware wordt gedetecteerd door de onderzoekers. Het toegenomen gebruik van PlugX duidt op een groter vertrouwen in de mogelijkheden van het platform, dat zijn langdurig gebruik in meerdere landen en sectoren rechtvaardigt.
Crowdstrike heeft een groep die PlugX gebruikt op machines betrapt, die verder gaat onder de naam Hurricane Panda. Het hacken van collectieve maakt gebruik van de aangepaste DNS-functie van de malware om vier DNS-servers spoofen met domeinen zo populair als Adobe.com, Pinterest.com en Github.com. De malware hun legitieme IP-adressen vervangen, het instellen van hen om deze domeinen een PlugX C C knooppunt wijzen.
De malware wordt meestal verspreid door middel van een phishing-aanval. In sommige gevallen zijn de aanvallen gaan naar een zero-day CVE-2014-1761, dat kwetsbaar Word en RTF Microsoft-documenten exploiteert benutten. Anderen gebruiken de versleten gaten zoals CVE-2012-0158 in Excel en PowerPoint. De brief werd gebruikt in de Cloud Atlas, Red October en IceFrog aanvallen.
Onderzoekers bevestigen dat een deel van de cyber criminelen die gebruik maken van PlugX nieuwe domeinen voor het stimuleren van de C C van de malware hebt geregistreerd. Echter, oudere domeinen zijn nog steeds actief. Dit betekent dat de malware toont persistentie in de jaren.
Hoe deze malware in geslaagd om zo gemeengoed geworden?
Er zijn twee varianten:
- Er is een centrale malware verspreiding kanaal dat wordt duwen PlugX om de tegenstander groepen of.
- Er zijn groepen die niet hebben gebruikt PlugX en kreeg een kopie van het door cybercriminelen of openbare bewaarplaatsen.
In beide gevallen, de malware wordt meestal gebruikt door de aanvallers die afkomstig zijn uit China of voor landen onder invloed van China. Deze malware zijn gebruikt in politieke aanslagen en terugkerende aanvallen tegen diverse commerciële entiteiten in de Verenigde Staten. Volgens echter Crowdstrike, de snelle verspreiding van de malware kan een teken zijn voor zijn toekomstig gebruik op een wereldwijde basis te zijn.
De voortdurende ontwikkeling van PlugX stelt de flexibele capaciteit van de aanvallers en vereist serieuze waakzaamheid door het netwerk beschermers te sporen en te blokkeren.