PlugX är en fjärråtkomst verktyg som finns sedan 2008 och har ökända historia som malware. Enligt forskarna, verktyget blev ganska aktiv och populär i 2014 och tjänar som ett G0-till skadliga program för många motståndarens grupper.
Mycket av attackerna, nämligen de som inträffade under den andra halvan av 2014, har använt det verktyget. Enligt forskarna, de PlugX ytterligare spridning ska göra det möjligt för angripare att logga tangenttryckningar, att kopiera och ändra filer, att fånga skärm, att sluta processer, och även för att logga ut användarna och att fullständig omstart av maskinerna.
Den globala Threat Report från Crowdstrike, som släpptes igår, bekräftar att detta malware var bäst en i fråga om att riktade aktivitet i 2014. Det skadliga programmet är nu ett verktyg för många kontradiktoriska grupper baserade i Kina.
Bland de sätt malware förbättrades i 2014 och sedan fångas på, var genom att förändra det sätt på vilket den kommunicerar med sin infrastruktur upp i kedjan. Det skadliga programmet är att genomföra en ny DNS modul för styrning och kontroll och är därmed kunna skicka sina data i form av långa DNS-förfrågningar till den övervakning infrastruktur.
Med andra ord, malware är att ändra det sätt som HTTP och DNS-förfrågningar produceras. Denna process kallas av Crowdstrike en avvikelse från normalt övervakas protokoll och detta gjorde det svårt för skadlig kod att detekteras av forskarna. Den ökade användningen av PlugX indikerar en större tilltro till plattformens kapacitet, vilket motiverar dess långvarig användning i flera länder och sektorer.
Crowdstrike har fångat en grupp som använder PlugX på maskiner, som går under namnet Hurricane Panda. Hacking kollektiv använder anpassade DNS inslag i malware för att förfalska fyra DNS-servrar med domäner lika populär som Adobe.com, Pinterest.com och Github.com. Det skadliga programmet ersatte deras legitima IP-adresser, att ställa in dem till punkt dessa domäner till en PlugX C + C-nod.
Den skadliga program sprids oftast genom en phishing attack. I vissa fall attackerna fortsätter att utnyttja en noll dag CVE-2014-1761 som utnyttjar sårbara Word och RTF Microsoft-dokument. Andra använder de slitna hål som CVE-2012-0158 i Excel och PowerPoint. Brevet användes i Cloud Atlas, Röd Oktober och IceFrog attacker.
Forskare bekräftar att en del av cyberbrottslingar som använder PlugX har registrerat nya domäner för att utnyttja C + C av malware. dock, äldre domäner är fortfarande aktiva. Detta innebär att den skadliga koden visar uthållighet under åren.
Hur detta malware lyckats bli så vanligt?
Det finns två varianter:
- Det finns en central skadlig spridning kanal som driver PlugX till motståndaren grupper eller.
- Det finns grupper som inte har använt PlugX och fick kopior av det genom cyberbrottslingar eller offentliga databaser.
I båda fallen, malware används vanligtvis av angriparna som kommer från Kina eller länder under påverkan av Kina. Detta malware har använts i politiska attacker och återkommande attacker mot olika kommersiella aktörer i USA. Enligt Crowdstrike emellertid, den snabba spridningen av skadlig kod kan vara ett tecken för dess framtida användning över hela världen.
Den ständiga utvecklingen av PlugX säkrar flexibel förmåga angriparna och kräver allvarlig vaksamhet av nätverksskydd för att upptäcka och blockera den.