Palo Alto Network’ün Unit 42 ekibindeki siber güvenlik uzmanları tarafından kısa süre önce yapılan bir araştırma, PlugX kötü amaçlı yazılımının bir varyasyonunun USB sürücülerdeki zararlı dosyaları gizleme ve ardından bağlantı kurulduğunda Windows sistemlerine bulaşma yeteneğine sahip olduğunu ortaya çıkardı.
Araştırmacılar tarafından “yeni bir teknik” olarak tanımlanan kötü amaçlı yazılım tarafından kullanılan yeni bir yöntem, genişletilmiş gizliliğe olanak tanır ve yalıtılmış ağlara bile sızma potansiyeline sahiptir.
Bir Black Basta fidye yazılımı olayına müdahale sırasında Palo Alto Networks’ün Unit 42 ekibi, PlugX varyasyonunun bir örneğine rastladı.
Söz konusu kötü amaçlı yazılım, kırmızı ekip operasyonlarında istismar sonrası faaliyetler için düzenli olarak kullanılan araçlar olan GootLoader ve Brute Ratel kullanılarak gözlemlendi.
Birim 42, benzer örnekleri bulma arayışlarında, VirusTotal’da bir PlugX varyasyonuna rastladı. PlugX’in bu varyantı, etkilenen sistemi gizli belgeler için tarama ve ardından bunları USB sürücüsünde gizli bir klasöre aktarma işleviyle donatılmıştır.
PlugX Kötü Amaçlı Yazılımı Enfeksiyon Zinciri
PlugX, 2008’den beri dolaşımda olan ve orijinal olarak Çinli bilgisayar korsanlığı grupları tarafından kullanılan köklü bir kötü amaçlı yazılım biçimidir.
Bu kötü amaçlı yazılım 2008’den beri ortalıkta olmasına rağmen, bazı bilgisayar korsanlığı grupları bugün bunu kullanmaya devam ediyor ve genellikle şifrelenmiş yükleri gizlice teslim etmek için dijital olarak imzalanmış yazılımlar kullanıyor.
Yıllar geçtikçe PlugX’in kullanımı genişledi ve çok sayıda kötü niyetli oyuncu arasında popüler hale geldi ve bir saldırının kaynağının izini sürmeyi zorlaştırdı.
Bunun dışında, saldırganın mevcut saldırı kampanyalarında ‘x64dbg.exe’ olarak bilinen bir Windows hata ayıklama aracının 32 bit sürümünü kullandığı görülüyor.
Saldırı kampanyasının bir parçası olarak PlugX yükünü (x32bridge.dat) yüklemek için ‘x32bridge.dll’ dosyasının değiştirilmiş bir sürümünü de kullanıyorlar.
Windows Makinesinde Kötü Amaçlı Yazılım Yürütme
Kötü amaçlı yazılım geliştikçe, VirusTotal’daki antivirüs motorları tarafından tespit oranı, PlugX’in daha yeni sürümleri için düşüyor gibi görünüyor.
Spesifik olarak, geçen yılın Ağustos ayında eklenen bir örnek, şu an itibariyle VirusTotal platformunda yalnızca üç ürün tarafından tehdit olarak tanımlandı.
Araştırmacıların karşılaştığı PlugX sürümü, algılanan USB sürücülerinde bir Unicode karakteri kullanarak yeni bir klasör oluşturuyor. Bu tekniğin bir sonucu olarak, hem Windows Gezgini’nde hem de komut kabuğunda bu yeni dizin algılanamaz hale gelir.
Linux sistemlerinde bu dizinler görünürken, Windows sistemlerinde görünmez. Gizli dizinden kötü amaçlı yazılım kodunu çalıştırmak için USB cihazının kök klasöründe bir Windows kısayol (.lnk) dosyası oluşturulur.
Kötü amaçlı yazılımın yürütülmesi sırasında, kök dizindeki LNK dosyasının simgesini ayarlamak için kullanılan gizli bir dizinde bir ‘desktop.ini’ dosyası oluşturulur ve kurbanın dosyanın bir USB sürücüsü olduğuna inandırılır; aslında bir tehdit.
Kötü amaçlı yazılım, USB cihazında maske görevi gören ve kötü amaçlı yazılımın kopyalarını barındıran bir ‘RECYCLER.BIN’ alt dizini oluşturur. 2020’nin sonlarında Sophos araştırmacıları, bu tür bir teknik ve saldırıyı gerçekleştirmek için PlugX’in eski bir sürümünün kullanıldığını keşfetti.
2020’nin sonlarında Sophos araştırmacıları, bu tür saldırıları gerçekleştirmek için PlugX’in eski bir sürümünün kullanıldığını keşfetti.
Şüphelenmeyen kurban, USB cihazının kök klasöründe bulunan kısayol dosyasına tıkladığında, cmd.exe yoluyla x32.exe’nin yürütülmesini tetikler ve sonuç olarak ana bilgisayara PlugX kötü amaçlı yazılım bulaşmasına yol açar.
PlugX kötü amaçlı yazılımı cihaza bir kez sızdığında, aktif olarak yeni USB cihazları arar ve tespit edildiğinde kendisini bu cihazlara yaymaya çalışır.
Unit 42’deki araştırmacılar, yalnızca USB sürücülerini etkilemekle kalmayan, aynı zamanda PDF ve Microsoft Word belgeleri gibi belirli dosya türlerini hedef alarak bunları gizli bir dizin içindeki “da520e5” adlı bir klasöre kopyalayan bir PlugX kötü amaçlı yazılım çeşidi belirlediler.
PlugX kötü amaçlı yazılımı on yılı aşkın bir süredir dolaşımda ve daha önce Çin devlet destekli bilgisayar korsanlığı gruplarıyla yoğun bir şekilde bağlantılıydı.
Yıllar içinde ulus devletler, siber suç grupları ve fidye yazılımı yazarları dahil olmak üzere diğer tehdit grupları arasında giderek daha popüler hale geldi.