PlugX kötü amaçlı yazılımı neredeyse on yıldır ortalıkta dolaşıyor ve Çinli nexus’un birçok aktörü ve diğer bazı siber suç grupları tarafından kullanılıyor.
Palo Alto Networks Unit 42 olay müdahale ekibi, çıkarılabilir USB cihazları aracılığıyla dağıtılan ve Windows PC’leri hedefleyen yeni bir PlugX kötü amaçlı yazılım türü keşfetti. Bu sürpriz olmamalı çünkü Yeni kötü amaçlı yazılımların %95,6’sı veya 2022’deki varyantları Windows’u hedef aldı.
Unit 42 araştırmacılarına göre, yeni değişken, bir Black Basta fidye yazılımı saldırısı sonrasında bir olay müdahalesi gerçekleştirilirken tespit edildi. Araştırmacılar, kurbanların cihazlarında çeşitli kötü amaçlı yazılım örnekleri ve araçları ortaya çıkardı. Bu, Brute Ratel C4 kırmızı ekip oluşturma aracını içerir, GootLoader kötü amaçlı yazılımıve eski bir PlugX örneği.
PlugX kötü amaçlı yazılımı neredeyse on yıldır ortalıkta dolaşıyor ve Çinli nexus’un birçok aktörü ve diğer bazı siber suç grupları tarafından kullanılıyor. Kötü amaçlı yazılım daha önce 2015 ABD Devlet Personel Yönetimi Ofisi gibi birçok yüksek profilli siber saldırıda kullanılmıştı. (OPM) ihlali.
Aynı arka kapı, 2018 kötü amaçlı yazılım saldırısı Çin’deki azınlık gruplarının Android cihazlarında. En son, Kasım 2022’dearaştırmacılar, Google Drive kimlik avı dolandırıcılıklarını, kötü şöhretli bir şekilde PlugX kötü amaçlı yazılımı kullandığı bilinen grupla ilişkilendirdi.
Enfeksiyon Kapsamı
Yeni varyant, diğer kötü amaçlı yazılımlar arasında göze çarpıyordu çünkü disket, flash, parmak sürücüler gibi takılı herhangi bir çıkarılabilir USB cihazına ve çıkarılabilir cihazın daha sonra takılacağı herhangi bir sisteme bulaşabilir.
Şimdiye kadar, PlugX arka kapısını veya Gootkit’i Black Basta fidye yazılımı grup ve araştırmacılar başka bir aktörün onu konuşlandırmış olabileceğine inanıyor. Ayrıca araştırmacılar, kötü amaçlı yazılımın tüm Adobe PDF ve Microsoft Word belgeleri ana bilgisayardan alır ve bunları USB aygıtındaki gizli bir klasöre yerleştirir. Kötü amaçlı yazılımın kendisi bu klasörü oluşturur.
Kötü Amaçlı Yazılım Analizi
Ünite 42 araştırmacıları Jen Miller-Osborn ve Mike Harbison, Blog yazısı PlugX kötü amaçlı yazılımının bu çeşidinin, solucanla çalışan, ikinci aşama bir implant olduğu. BT USB cihazlarına bulaşıyor ve Windows işletim dosya sisteminden gizli kalır. Kullanıcı, USB cihazlarının ağlardan veri sızdırmak için istismar edildiğinden şüphelenmez.
PlugX’in USB değişkeni farklıdır çünkü bir iş istasyonuna takılı bir USB aygıtındaki dosyaları gizlemek için kırılmaz boşluk/ U+00A0 adı verilen özel bir Unicode karakteri kullanır. Bu karakter, Windows işletim sisteminin Explorer’da anonim bir klasör bırakmak yerine dizin adını oluşturmasını engeller.
Ayrıca, kötü amaçlı yazılım, aktör dosyalarını çıkarılabilir bir USB cihazında bile çalışan yeni bir teknikle gizleyebilir. en son Windows işletim sistemi.
Kötü amaçlı yazılım, ana bilgisayara bulaşmak ve kötü amaçlı kodu bir geri dönüşüm kutusu klasöründe saklayarak ana bilgisayara bağlı herhangi bir çıkarılabilir cihaza kopyalamak için tasarlanmıştır. MS Windows işletim sistemi varsayılan olarak gizli dosyaları göstermediğinden, geri dönüşüm kutusundaki kötü amaçlı dosyalar görüntülenmez, ancak şaşırtıcı bir şekilde, ayarlar etkinleştirildiğinde bile gösterilmez. Bu kötü amaçlı dosyalar, yalnızca Unix benzeri bir işletim sisteminde veya USB cihazının bir adli tıp aracına takılması yoluyla görüntülenebilir/indirilebilir.
Alakalı haberler
- Schneider Electric, Kötü Amaçlı Yazılım İçeren USB Sürücüler Gönderdi
- FBI, posta gönderen bilgisayar korsanlarına karşı uyardı fidye yazılımı USB sürücüleri
- USB Wormable Raspberry Robin Kötü Amaçlı Yazılımı Windows’u Vurdu
- Kötü amaçlı yazılım aracı, USB’leri kullanarak hava boşluklu bilgisayarlardan dosya çalıyor
- Best Buy Hediye Kartları ile kötü amaçlı USB’ler gönderen bilgisayar korsanları