中国ハッカーが利用するDOPLUGSバックドア

中国と関係のある脅威アクターである Mustang Panda は、DOPLUGS という名前の PlugX (Korplug としても知られる) バックドアの修正バージョンを使用して、アジアのいくつかの国にサイバースパイ活動を集中させています。

研究者らによると、このカスタマイズされた PlugX マルウェアは、完全なバックドア コマンド モジュールを欠いている点で典型的な亜種とは異なります。代わりに、上記モジュールをダウンロードするという唯一の目的を果たします。 DOPLUGS は主に台湾とベトナムの組織をターゲットにしていますが、香港、インド、日本、マレーシア、モンゴル、さらには中国の組織も対象としています。

BASIN、Bronze President、Camaro Dragon、Earth Preta、HoneyMyte、RedDelta、Red Lich、Stately Taurus、TA416、TEMP.Hex とも呼ばれる Mustang Panda は、少なくとも 2012 年から PlugX を利用していますが、その活動が最初に明らかになったのは 2012 年です。 2017年。

Mustang Panda は最初の攻撃手段としてフィッシングを使用

脅威アクターの手口には、高度なスピア フィッシング キャンペーンを実行して、さまざまなカスタム マルウェアを配信することが含まれます。 2018 年以来、Mustang Panda は、RedDelta、Thor、Hodur、DOPLUGS (SmugX キャンペーンを通じて拡散) など、独自に調整したバージョンの PlugX を展開しています。

侵害の連鎖には、巧妙に作成されたスピア フィッシング メッセージが含まれており、おとりドキュメントに見せかけた最初のペイロードが配信されます。このペイロードは、DLL サイドローディングに対して脆弱な、正規の署名付き実行可能ファイルを密かに解凍します。その後、ダイナミック リンク ライブラリ (DLL) がサイドロードされ、PlugX を復号化して実行します。

次に、PlugX マルウェアは Poison Ivy リモート アクセス トロイの木馬 (RAT) または Cobalt Strike Beacon をフェッチし、Mustang Panda によって制御されているサーバーとの接続を確立します。

2023 年 12 月、Lab52 は DOPLUGS を使用して台湾の政治、外交、政府機関をターゲットにしたマスタング パンダ キャンペーンを発見しました。特に、この亜種は Nim プログラミング言語で書かれた悪意のある DLL を特徴としており、Windows Cryptsp.dll ライブラリに依存していた以前のバージョンとは異なり、PlugX の復号化に独自の RC4 アルゴリズム実装を採用しています。