ASEC (AhnLab Güvenlik Acil Durum Müdahale Merkezi) kısa bir süre önce, tehdit aktörlerinin PlugX kötü amaçlı yazılımını dağıtmak için Çin uzak masaüstü programlarındaki aşağıdakiler gibi güvenlik açıklarından yararlandığını bildirdi: –
Bu kusurların güvenliği ihlal edilmiş sistemlerde kullanılması, devam eden suistimallerin bir sonucu olarak çeşitli yükler sağlamak için kullanılmaya devam ediyor. Aşağıdakiler dahildir: –
Bu listede çok sayıda kötü amaçlı yazılım vardır, ancak PlugX en yenisidir. Çinli tehdit aktörleri, hassas bilgilerin çalınmasına ve sistemlerin kontrolüne yardımcı olmak için sürekli olarak eklenen yeni özelliklerle birlikte, modüler kötü amaçlı yazılımları yoğun bir şekilde kullandı.
Gruplar PlugX kullanıyor
Geçmişte PlugX, aşağıdakiler dahil olmak üzere bir dizi tanınmış APT tehdit grubu tarafından saldırılarında kullanılmıştır:-
- Mustang Pandası
- Winnti
- APT3
- APT41
Bu APT gruplarının çoğu, esas olarak o ülkede yerleşik oldukları için Çinlidir. Modül tabanlı bir kötü amaçlı yazılım olan PlugX tarafından desteklenen, farklı özelliklere sahip birkaç eklenti vardır.
Teknik Analiz
Çin merkezli APT tehdit gruplarının, hedeflerini tehlikeye atmak için en büyük arka kapılarından biri olarak PlugX’i kullandıkları bilinmektedir. İlk saldırıların gerçekleştirildiği 2008 yılına dayanan bu kötü amaçlı yazılımın dağıtımının arkasında uzun bir geçmiş var.
Zaman geçtikçe gelişti ve artık birçok çeşidi var ve her varyantın siber suçlulara fayda sağlayabilecek benzersiz bir dizi özelliği var.
Rapora göre Siber saldırganlar, ASEC’in gözlemlediği saldırılarda sistem açıklarından yararlanmayı başardı. Bilgisayar korsanları bir PowerShell komutu kullanarak kusurlardan yararlandıktan sonra uzak bir sunucudan bir yürütülebilir dosya ve bir DLL dosyası alınır.
Burada tartışılan yürütülebilir dosya, siber güvenlik çözümleri sunan bir şirket olan ESET’ten geldiği için meşru bir HTTP Sunucu Hizmetidir.
DLL dosyası yüklendikten sonra, PlugX yükü bellekte çalıştırılır. Bu teknik meşru amaçlar için kullanılsa da kötü niyetli kişiler tarafından da kullanılabilir.
PlugX operatörleri tarafından kullanılan, DLL’ler tarafından yandan yüklemeye karşı savunmasız olan birçok yürütülebilir anti-virüs dosyası da dahil olmak üzere birçok güvenilir ikili dosya vardır. Bir dizi çalışma, bu tekniğin kurbanları enfekte etmede etkili olduğunu göstermiştir.
Yetenekleri
Ek olarak, arka kapının en dikkate değer özelliklerinden biri de aşağıdakileri yapabilmesidir:
- Toplanan bilgileri iletir
- Tekrar komut iste
- eklenti ile ilgili
- Bağlantıyı sıfırla
- otomatik silme
- Yapılandırma verilerini yükle
- Yapılandırma verilerini güncelle
- İletilen adresten 53 numaralı bağlantı noktasına ping atar
- Dosyaları harici bir kaynaktan indirin ve çalıştırın
- Hizmeti başlat
PlugX, düzenli olarak saldırılarda kullanılmaya devam ettiği için bugün bile yeni özelliklerle geliştirilmeye devam ediyor.
Ayrıca, bir saldırganın kullanıcının haberi olmadan PlugX yükleyerek virüs bulaşmış bir sistem üzerinde kontrol elde etme olasılığı vardır. Sonuç olarak, bunun sonucunda çeşitli kötü niyetli davranışların gerçekleştirilmesi mümkündür.