PlugX é uma ferramenta de acesso remoto que existe desde 2008 e tem história notório como um malware. De acordo com os pesquisadores, a ferramenta tornou-se bastante ativo e popular em 2014 e serve como um g0-a malware para muitos grupos adversários.
Grande parte dos ataques, nomeadamente as que ocorreram durante o segundo semestre de 2014, têm vindo a utilizar essa ferramenta. De acordo com os pesquisadores, o PlugX a proliferação devem permitir que os atacantes para as teclas digitadas log, para copiar e modificar arquivos, para capturar screenshots, para encerrar processos, e também para desconectar os usuários e fazer a reinicialização completa das máquinas.
O Relatório Global Threat por Crowdstrike, que ontem foi lançado, confirma que este malware foi a melhor utilizado um no que diz respeito à atividade-alvo em 2014. O malware é hoje a ferramenta para muitos grupos contraditório com base na China.
Entre as maneiras o malware melhorou em 2014 e foi, então, pegou, foi, alterando a maneira pela qual se comunica com a sua infra-estrutura a montante da cadeia. O malware está a implementar um novo módulo de DNS para o comando e controle, e é, portanto, capaz de enviar seus dados sob a forma de consultas DNS longos para a infra-estrutura supervisionando.
Em outras palavras, o malware está modificando a maneira como HTTP e DNS pedidos são produzidos. Este processo é chamado por Crowdstrike um desvio dos protocolos tipicamente monitorados e isso tornou difícil para o malware a ser detectado pelos pesquisadores. O aumento do uso de PlugX indica uma maior confiança nas capacidades da plataforma, o que justifica seu uso prolongado em vários países e sectores.
Crowdstrike travou um grupo que usa PlugX em máquinas, que passa sob o nome Hurricane Panda. O coletivo de hackers usa o recurso de DNS personalizado do malware, a fim de falsificar quatro servidores DNS com domínios tão popular como Adobe.com, Pinterest.com e Github.com. O malware substituído seus endereços IP legítimos, definindo-as ao ponto destes domínios para um nó PlugX C C.
O malware geralmente se dissemina através de um ataque de phishing. Em alguns casos, os ataques de ir para alavancar a CVE-2014-1761 dia zero, que explora o Word vulnerável e documentos RTF Microsoft. Outros usam os buracos desgastados como CVE-2012-0158 em Excel e PowerPoint. A carta foi usada no Cloud Atlas, Red outubro e IceFrog ataques.
Pesquisadores confirmam que alguns dos criminosos cibernéticos que estão usando PlugX ter registado novos domínios para alavancar a C C do malware. Contudo, domínios mais antigos ainda estão ativos. Isto significa que o malware mostra persistência ao longo dos anos.
Como este malware conseguiu se tornar tão comum?
Existem duas variantes:
- Existe um canal de difusão de malwares central que está a empurrar PlugX para os grupos ou adversário.
- Há grupos que não tenham utilizado PlugX e receberam cópias do mesmo através de cibercriminosos ou repositórios públicos.
Em ambos os casos, o malware geralmente é usado pelos atacantes que vêm da China ou para os países sob a influência da China. Este malware têm sido utilizados em ataques políticos e ataques recorrentes contra várias entidades comerciais nos Estados Unidos. De acordo com Crowdstrike contudo, a rápida disseminação do malware poderia ser um sinal para seu uso futuro em uma base mundial.
O desenvolvimento constante de PlugX assegura capacidade flexível dos atacantes e requer vigilância sério pelos protetores de rede para detectar e bloquear-lo.