Недавно группа реагирования на инциденты Unit 42 занималась ликвидацией последствий взлома Black Basta, в ходе которой на машинах жертв было обнаружено несколько инструментов и образцов вредоносного ПО, включая вредоносное ПО GootLoader, инструмент для перехвата данных Brute Ratel C4 и более старый образец вредоносного ПО PlugX. Вредоносная программа PlugX привлекла внимание, поскольку этот вариант заражает все подключенные съемные USB-носители, такие как дискеты, флешки или флеш-накопители, а также все дополнительные системы, к которым впоследствии подключается USB.
Эта вредоносная программа PlugX также прячет файлы-актеры в USB-устройстве, используя новую технику, которая работает даже на самых последних операционных системах (ОС) Windows на момент написания этого сообщения. Это означает, что вредоносные файлы можно увидеть только на Unix-подобных (*nix) ОС или при монтировании USB-устройства в криминалистическом инструменте.
Unit 42 также обнаружили в VirusTotal похожий вариант PlugX, который заражает USB-устройства и копирует все файлы Adobe PDF и Microsoft Word с хоста. Он помещает эти копии в скрытую папку на USB-устройстве, созданную вредоносной программой.
PlugX - это имплантат второй стадии, используемый не только несколькими группами, связанными с Китаем, но и несколькими киберпреступными группировками. Он существует уже более десяти лет и был замечен в некоторых громких кибератаках, включая взлом Управления по работе с персоналом правительства США (OPM) в 2015 году. Это модульная структура вредоносного ПО, поддерживающая развивающийся набор возможностей на протяжении многих лет.
PlugX Malware IOCs
Indicators of Compromise
SHA256
- 02aa5b52137410de7cc26747f26e07b65c936d019ee2e1afae268a00e78a1f7f
- 0e9071714a4af0be1f96cffc3b0e58520b827d9e58297cb0e02d97551eca3799
- 2a07877cb53404888e1b6f81bb07a35bc804daa1439317bccde9c498a521644c
- 39280139735145ba6f0918b684ab664a3de7f93b1e3ebcdd071a5300486b8d20
- 41a0407371124bcad7cab56227078ccd635ba6e6b4374b973754af96b7f58119
- 5d98d1193fcbb2479668a24697023829fc9dc1f7d31833c3c42b8380ef859ff1
- 8ec37dac2beaa494dcefec62f0bf4ae30a6ce44b27a588169d8f0476bbc94115
- e72e49dc1d95efabc2c12c46df373173f2e20dab715caf58b1be9ca41ec0e172
Mutex
LKU_Test_0.1
LKU_Test_0.2
TCP_0.1