PlugX beri var olan bir uzaktan erişim aracıdır 2008 ve kötü amaçlı yazılımlar gibi azılı bir geçmişi vardır. araştırmacılara göre, aracı oldukça aktif ve popüler oldu 2014 ve pek çok rakip gruplar için olduğu gibi kötü amaçlı yazılımlar g0-yarar.
saldırıların büyük anlaşma, ikinci yarısında meydana yani olanlar 2014, O aracını kullanarak olmuş. araştırmacılara göre, .CHACKL Ransomware virüsü Windows kayıt girdilerini değiştirebilir PlugX tuş vuruşlarını oturum saldırganların imkan verecektir ayrıca çoğalma, kopyalayabilir ve dosyaları değiştirmek için, ekran görüntüleri yakalamak için, işlemlerden çıkmak için, ve ayrıca kullanıcıların oturumunu sona erdirecek ve makinelerin komple yeniden başlatma yapmak.
Crowdstrike tarafından Küresel Tehdit Raporu, hangi serbest bırakıldı dün, Bu zararlı yazılım en hedeflenen aktiviteye ilişkin bir tane kullanıldığını teyit 2014. kötü amaçlı yazılım şu anda Çin'de bulunan birçok düşmanca gruplar için bir araçtır.
kötü amaçlı yazılım iyileşme yolları arasında 2014 ve daha sonra yakalandı, onun altyapısı yukarı zincir ile iletişim şeklini değiştirerek oldu. zararlı yazılım komuta ve kontrol için yeni bir DNS modülü uygulanması ve böylece nezaret altyapısına uzun DNS sorguları şeklinde kapsamındaki veri göndermek yapabiliyor edilir.
Başka bir deyişle, zararlı HTTP ve DNS istekleri üretildiği şekilde değiştiriyorsa. Bu işlem, bir sapma genellikle izlenen protokollerden Crowdstrike denilen ve bu zor zararlı araştırmacılar tarafından tespit edilmesi için yapılır. PlugX artan kullanım Platformun yetenekleri daha büyük güveni gösterir, hangi birden çok ülkede ve sektörlerde kendi uzamış kullanımını haklı.
Crowdstrike makinelerde PlugX kullanan bir grup yakaladı, hangi ismi kasırgası Panda altında gider. hack kolektif popüler olarak etki alanları gibi dört DNS sunucuları taklit etmek için malware özel DNS özelliğini kullanır Adobe.com, Pinterest.com ve Github.com. kötü amaçlı onların meşru IP adreslerini yerini, Onları ayarı PlugX C + C düğümüne Bu alanları işaret etmek.
malware genellikle bir phishing saldırısı yoluyla yayılır. Bazı durumlarda ataklar savunmasız Word ve RTF, Microsoft belgelerini sömüren sıfır gün CVE-2014-1761 kaldıraç devam. Diğerleri Excel ve PowerPoint CVE-2012-0158 olarak yıpranmış delikleri kullanın. mektup Bulut Atlası kullanıldı, Kızıl Ekim ve IceFrog saldırılar.
Araştırmacılar PlugX kullandığınız siber suçluların bazı malware C + C yararlanarak yeni alanlar kayıtlı onaylamak. ancak, eskileri hala etkin. Bu kötü amaçlı yazılım yıllar içinde kalıcılığını gösterdiği anlamına gelir.
Bu zararlı yazılım öyle olagan hale başardı nasıl?
iki çeşidi vardır:
- düşman gruplar veya PlugX bastırıyor merkezi bir zararlı yayma kanalı bulunmaktadır.
- siber suçluların veya kamu depolarında kopyalarını PlugX kullanılan ve yok grubu vardır.
Her iki durumda da, malware genellikle Çin etkisi altında Çin'den gelen saldırganlar tarafından ya da ülkeler için kullanılır. Bu kötü amaçlı yazılım ABD'de çeşitli ticari kuruluşlar karşı siyasi saldırılara ve yinelenen saldırılar kullanılmaktadır. Ancak Crowdstrike göre, malware hızla yayılması dünya genelinde gelecekteki kullanım için bir işaret olabilir.
PlugX sürekli gelişim saldırganların esnek yeteneği güvenliği ve algılamak ve onu engellemek için ağ koruyucuları tarafından ciddi uyanıklık gerektirir.