Çinli bir bilgisayar korsanlığı grubu, Avrupa, Orta Doğu ve Güney Amerika’daki hükümet yetkililerine PlugX olarak bilinen modüler bir kötü amaçlı yazılım bulaştırmayı amaçlayan yeni bir kampanyaya atfedildi.
Siber güvenlik firması Secureworks, Haziran ve Temmuz 2022’de izinsiz girişleri tespit ettiğini ve bir kez daha düşmanın dünya çapındaki hükümetlere karşı casusluğa odaklanmaya devam ettiğini gösterdiğini söyledi.
Secureworks Counter Threat Unit (CTU), The Hacker News ile paylaşılan bir raporda, “PlugX, görev için bir komut ve kontrol (C2) sunucusuyla bağlantı kuran ve kapasitesini temel bilgi toplamanın ötesinde geliştirmek için ek eklentiler indirebilen modüler bir kötü amaçlı yazılımdır.” Dedi.
Bronze President, en az Temmuz 2018’den beri faaliyet gösteren Çin merkezli bir tehdit aktörüdür ve büyük olasılıkla, hedeflerinden taviz vermek ve veri toplamak için tescilli ve halka açık araçların bir karışımını kullanan, devlet destekli bir grup olduğu tahmin edilmektedir.
Ayrıca HoneyMyte, Mustang Panda, Red Lich ve Temp.Hex gibi diğer isimler altında da kamuya açık bir şekilde belgelenmiştir. Birincil tercih araçlarından biri, Çinli muhalif kolektifler arasında yaygın olarak paylaşılan bir uzaktan erişim truva atı olan PlugX’tir.
Bu yılın başlarında grubun, Asya, Avrupa Birliği ve ABD’de bulunan kuruluşların yanı sıra Hodur adlı PlugX arka kapısının güncellenmiş bir sürümüyle Rus hükümet yetkililerini hedef aldığı gözlemlendi.
Secureworks’ün son kampanyayı Bronze President’a atfetmesi, PlugX’in ve Çin için stratejik öneme sahip bölgelerle uyumlu siyasi temalı cazibe belgelerinin kullanılmasından kaynaklanıyor.
Saldırı zincirleri, bir PDF belgesi gibi görünen bir Windows kısayolu (.LNK) dosyası içeren RAR arşiv dosyalarını dağıtır ve bu dosya, arşive gömülü iç içe gizli bir klasörde bulunan meşru bir dosyayı çalıştırır.
Bu, daha sonra, bir sahte belgeyi bırakmanın yolunu açarken, PlugX yükü, virüslü ana bilgisayarda kalıcılığı ayarlar.
Araştırmacılar, “BRONZ BAŞKAN, yeni istihbarat toplama fırsatları için hızlı bir şekilde dönme yeteneği gösterdi” dedi. “Çin’i ilgilendiren coğrafi bölgelerdeki kuruluşlar, bu grubun faaliyetlerini, özellikle devlet kurumlarıyla ilişkili veya devlet kurumları olarak faaliyet gösteren kuruluşlar olmak üzere yakından izlemelidir.”