DOPLUGS Bagdør Ansat af kinesiske hackere

Mustang Panda, en trusselsaktør med bånd til Kina, har fokuseret sin cyberspionageindsats på flere asiatiske nationer ved at anvende en modificeret version af PlugX (også kendt som Korplug) bagdøren, kaldet DOPLUGS.

Ifølge forskere adskiller denne tilpassede PlugX malware sig fra den typiske variant ved at mangle et komplet bagdørs kommandomodul. I stedet tjener det det eneste formål at downloade det nævnte modul. DOPLUGS retter sig primært mod enheder i Taiwan og Vietnam, med mindre tilfælde i Hong Kong, Indien, Japan, Malaysia, Mongoliet og endda Kina.

Mustang Panda, også identificeret som BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 og TEMP.Hex, har brugt PlugX siden mindst 2012, selvom dets aktiviteter først blev afsløret i 2017.

Mustang Panda bruger phishing som indledende angrebsvektor

Trusselsaktørens modus operandi involverer at udføre sofistikerede spear-phishing-kampagner for at levere forskellige tilpassede malware. Siden 2018 har Mustang Panda implementeret sine egne skræddersyede versioner af PlugX, såsom RedDelta, Thor, Hodur og DOPLUGS (formidles gennem SmugX-kampagnen).

Kompromiskæder involverer veludformede spear-phishing-beskeder, der leverer en indledende nyttelast forklædt som et lokkedokument. Denne nyttelast pakker i hemmelighed en legitim, signeret eksekverbar ud, der er sårbar over for DLL-sideindlæsning. Efterfølgende sideindlæses et dynamisk linkbibliotek (DLL), som dekrypterer og udfører PlugX.

PlugX-malwaren henter derefter Poison Ivy remote access-trojaneren (RAT) eller Cobalt Strike Beacon for at etablere en forbindelse med en server styret af Mustang Panda.

I december 2023 opdagede Lab52 en Mustang Panda-kampagne rettet mod taiwanske politiske, diplomatiske og statslige enheder med DOPLUGS. Denne variant har især en ondsindet DLL skrevet i programmeringssproget Nim og anvender sin egen RC4-algoritmeimplementering til dekryptering af PlugX, der afviger fra tidligere versioner, der var afhængige af Windows Cryptsp.dll-biblioteket.

I Zaib
February 22, 2024
Computer Security
Dansk
February 22, 2024
Computer Security

Populære opslag

Hvad er OperaGXSetup.exe-filen, og er den skadelig?

11 months siden

Eporner.com og hvorfor dets overdrevne pop-ups er risikabelt

12 days siden

Bemærk: Nogen tilføjede dig som deres gendannelses-e-mail-fidus

10 months siden

HackTool:Win32/Crack: en ondsindet trussel, der kan skade dit...

7 months siden

En potentielt alvorlig trussel: Trojan:Win32/Suschil!rfn

19 days siden

Hvad er truslen fra Packunwan Trojan Horse, og hvordan den kan...

11 months siden
Dansk
Indlæser...

Cyclonis Password Manager Details & Terms

GRATIS prøveperiode: 30-dages engangstilbud! Intet kreditkort kræves for gratis prøveperiode. Fuld funktionalitet i hele den gratis prøveperiode. (Fuld funktionalitet efter gratis prøveversion kræver abonnementskøb.) For at lære mere om vores politikker og priser, se EULA, privatlivspolitik, rabatvilkår og købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Hjem

Produkter

Cyclonis Password Manager Cyclonis World Time

Support

Help Files FAQ Downloads Inquiries & Support

Selskab

Om os Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Fortrolighedspolitik Cookiepolitik Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows er et varemærke tilhørende Microsoft, registreret i USA og andre lande.
Mac, iPhone, iPad og App Store er varemærker tilhørende Apple Inc., registreret i USA og andre lande.
iOS er et registreret varemærke tilhørende Cisco Systems, Inc. og/eller dets datterselskaber i USA og visse andre lande.
Android og Google Play er varemærker tilhørende Google LLC.