PlugX er en ekstern tilgang verktøy som finnes siden 2008 og har beryktet historie som en malware. Ifølge forskerne, verktøyet ble ganske aktiv og populær i 2014 og fungerer som en G0-til malware for mange motstander grupper.
Mye av angrepene, nemlig de som fant sted i løpet av andre halvdel av 2014, har brukt dette verktøyet. Ifølge forskerne, den PlugX ytterligere spredning skal gjøre det mulig for angripere å logge tastetrykk, å kopiere og endre filer, å fange screenshots, å avslutte prosesser, og også for å logge av brukerne og for å gjøre ferdig omstart av maskinene.
Global Threat Report av Crowdstrike, som ble sluppet i går, bekrefter at dette malware ble den best brukt ett i forhold til målrettet aktivitet i 2014. Den malware er nå verktøy for mange motstandere grupper basert i Kina.
Blant måtene malware forbedret i 2014 og ble deretter fanget på, var ved å forandre den måten som kommuniserer den med sin infrastruktur opp kjeden. Den malware er å implementere en ny DNS-modul kommando og kontroll for og er dermed i stand til å sende sine data i form av lange DNS-spørringer til å føre tilsyn med infrastrukturen.
Med andre ord, malware er å endre måten HTTP og DNS-forespørsler blir produsert. Denne prosessen kalles av Crowdstrike et avvik fra typisk overvåkede protokoller, og dette gjorde det vanskelig for malware å bli oppdaget av forskere. Den økte bruken av PlugX indikerer en større tillit til plattformens muligheter, som begrunner sitt langvarig bruk over flere land og sektorer.
Crowdstrike har fanget en gruppe som bruker PlugX på maskiner, som går under navnet Hurricane Panda. Hacking kollektive bruker tilpassede DNS funksjon av malware for å forfalske fire DNS-servere med domener like populær som Adobe.com, Pinterest.com og Github.com. Den malware erstattet sine legitime IP-adresser, sette dem til å peke disse domenene til en PlugX C C node.
Den malware er vanligvis spres gjennom et phishing-angrep. I noen tilfeller angrepene går på å utnytte en zero day CVE-2014-1761 som utnytter sårbare Word og RTF Microsoft-dokumenter. Andre bruker de slitte hull som CVE-2012-0158 i Excel og PowerPoint. Brevet ble brukt i Cloud Atlas, Red October og IceFrog angrep.
Forskere bekrefter at noen av de nettkriminelle som bruker PlugX har registrert nye domener for å utnytte C C av malware. Men, eldre domener er fortsatt aktiv. Dette betyr at malware viser utholdenhet i løpet av årene.
Hvordan dette malware klart å bli så vanlig?
Det er to varianter:
- Det er en sentral malware formidlingskanal som presser PlugX til motstander grupper eller.
- Det finnes grupper som ikke har brukt PlugX og fikk kopier av det gjennom nettkriminelle eller offentlige arkiver.
I begge tilfeller, malware er vanligvis brukt av angriperne som kommer fra Kina eller for land under påvirkning av Kina. Dette malware har blitt brukt i politiske angrep og tilbakevendende angrep mot ulike kommersielle enheter i USA. Ifølge Crowdstrike imidlertid, den raske spredningen av malware kan være et tegn for sin fremtidig bruk på verdensbasis.
Den kontinuerlige utviklingen av PlugX sikrer fleksibel evne til angriperne og krever seriøs årvåkenhet av nettverket vern for å oppdage og blokkere det.