Čínski hackeri implantujú variant PlugX na kompromitované servery MS Exchange

Čínska kyberšpionážna skupina známa tým, že sa zameriava na juhovýchodnú Áziu, využila nedostatky v serveri Microsoft Exchange, ktoré vyšli najavo začiatkom marca, aby nasadila predtým nezdokumentovaný variant trójskeho koňa so vzdialeným prístupom (RAT) na napadnuté systémy.

Pripisujúc prieniky aktérovi hrozby menom PKPLUG (aka Mustang Panda a HoneyMyte), tím pre spravodajstvo o hrozbách Palo Alto Networks Unit 42 uviedol, že identifikoval novú verziu modulárneho PlugX malvéru s názvom Thor, ktorý bol dodaný ako nástroj po exploatácii. na jeden z narušených serverov.

PlugX, ktorý sa datuje už od roku 2008, je plne vybavený implantát druhej fázy s funkciami, ako je nahrávanie, sťahovanie a úprava súborov, zaznamenávanie stlačenia klávesov, ovládanie webovej kamery a prístup k vzdialenému príkazovému shellu.

„Variant pozorovaný […] je unikátny v tom, že obsahuje zmenu v základnom zdrojovom kóde: nahradenie jeho obchodného slova ‘PLUG’ na ‘THOR’,“ uviedli vedci z Unit 42 Mike Harbison a Alex Hinchliffe v technickom zápise zverejnenom v utorok.

“Najskoršia odkrytá vzorka THOR bola z augusta 2019 a je to najstaršia známa inštancia premenovaného kódu. V tomto variante boli pozorované nové funkcie, vrátane vylepšených mechanizmov doručovania užitočného zaťaženia a zneužívania dôveryhodných binárnych súborov.”

Po tom, čo Microsoft v marci zverejnil 2 že hackeri so sídlom v Číne – s kódovým označením Hafnium – využívali zero-day chyby na serveri Exchange, ktorý je súhrnne známy ako ProxyLogon, na krádež citlivých údajov od vybraných cieľov, viacerých aktérov hrozieb, ako sú napríklad skupiny ransomvéru (DearCry a Black Kingdom) a krypto-ťažobné gangy ( LemonDuck), boli tiež pozorované pri využívaní nedostatkov na únos serverov Exchange a inštaláciu webového prostredia, ktoré umožňovalo spustenie kódu na najvyššej úrovni práv.

PKPLUG sa teraz pripája k zoznamu, podľa výskumníkov Unit 42, ktorí zistili, že útočníci obchádzajú antivírusové detekčné mechanizmy, aby sa zamerali na servery Microsoft Exchange využívaním legitímnych spustiteľných súborov, ako je BITSAdmin, na získanie zdanlivo neškodného súboru (“Aro.dat”) od hercom kontrolovaného Úložisko GitHub.

Súbor, v ktorom sa nachádza zašifrovaná a komprimovaná užitočná časť PlugX, odkazuje na voľne dostupný pokročilý nástroj na opravu a optimalizáciu, ktorý je určený na vyčistenie a opravu problémov v Windows Registratúra.

Najnovšia vzorka PlugX je vybavená rôznymi zásuvnými modulmi, ktoré „poskytujú útočníkom rôzne možnosti monitorovania, aktualizácie a interakcie s napadnutým systémom, aby splnili svoje ciele,“ uviedli vedci. Odkazy THORa na PKPLUG pochádzajú zo spojenia infraštruktúry príkazov a riadenia, ako aj z prekrývania sa v zlom správaní zistenom medzi inými nedávno objavenými artefaktmi PlugX.

Ďalšie indikátory kompromitácie spojené s útokom sú dostupné tu. Jednotka 42 tiež sprístupnila skript Python, ktorý dokáže dešifrovať a rozbaliť zašifrované užitočné zaťaženie PlugX bez toho, aby mal pridružené zavádzače PlugX.