Kybernetické útoky PlugX a Bookworm míří na asijské telekomunikační firmy a sítě ASEAN

Telekomunikační a výrobní sektory ve střední a jižní Asii se staly terčem nové kampaně, která šíří upravenou verzi malwaru PlugX, známého také jako Korplug nebo SOGU. Tato varianta nese shodné prvky s jinými zadními vrátky, jako je RainyDay nebo Turian, a dokáže zneužívat legitimní aplikace k DLL side-loadingu. Podle společnosti Cisco Talos se k tomu používá kombinace algoritmů XOR-RC4-RtlDecompressBuffer a opakovaně nasazovaných RC4 klíčů.

Zajímavostí je, že nová konfigurace PlugX kopíruje strukturu malwaru RainyDay, který bývá spojován s čínsky orientovanou skupinou Lotus Panda, označovanou také jako Naikon APT. Podobné stopy připisuje jiným skupinám i Kaspersky, například pod názvem Cycldek. PlugX přitom není novinkou – jde o modulární RAT, který dlouhodobě využívají různé čínské hackerské týmy včetně Mustang Panda.

Turian, označovaný také jako Quarian či Whitebird, je zase spojován s aktivitami skupiny BackdoorDiplomacy. Ta se rovněž zaměřuje na telekomunikační firmy a podle dostupných stop působí ve stejných oblastech jako Lotus Panda, což naznačuje možné propojení nebo využívání nástrojů od společného dodavatele.

V rámci nedávné kampaně byl zaznamenán útok proti telekomunikační společnosti v Kazachstánu. Scénář útoku zahrnoval spuštění škodlivé DLL pomocí legitimního souboru Mobile Popup Application, přičemž následně byly do paměti zavedeny moduly PlugX, RainyDay i Turian. PlugX se navíc prezentoval jako klíčlogger s rozšířenou schopností sledování. „Ačkoliv nelze s jistotou říci, že Naikon a BackdoorDiplomacy jsou totožní, překryvy v metodách a výběru cílů naznačují napojení na čínsky mluvící aktéra,“ uvedl tým Cisco Talos.

Paralelně s tím byla odhalena i aktivita malwaru Bookworm, který Mustang Panda využívá již od roku 2015. Tento RAT dokáže spouštět libovolné příkazy, stahovat i nahrávat soubory a udržet si dlouhodobý přístup k systému. Bookworm se šíří pomocí legitimně vypadajících domén a kompromitované infrastruktury C2, přičemž novější varianty využívají sofistikovanější techniky jako balení shellkódu do UUID řetězců. „Bookworm svou modulární architekturou potvrzuje, že jde o klíčový nástroj v dlouhodobém arzenálu Mustang Panda,“ uvedl Kyle Wilhoit z Unit 42.

Zdroj: The Hacker News

 

 

Zdroj: IT SECURITY NETWORK NEWS