Команда Trend Micro по обнаружению и реагированию на управляемые расширения (MxDR) обнаружила, что файл под названием x32dbg.exe использовался для боковой загрузки вредоносной библиотеки DLL, идентифицированной как вариант PlugX. Этот файл представляет собой легитимный инструмент отладчика с открытым исходным кодом для Windows, который обычно используется для изучения кода режима ядра и пользовательского режима, дампов аварийных ситуаций или регистров процессора.
Между тем, PlugX - это известный троян удаленного доступа (RAT), который используется для получения удаленного доступа и контроля над взломанными машинами. Он позволяет злоумышленнику получить несанкционированный доступ к системе, украсть конфиденциальные данные и использовать взломанную машину в злонамеренных целях.
Обнаружение и анализ атаки вредоносного ПО с помощью инструмента отладчика с открытым исходным кодом показывает, что боковая загрузка DLL по-прежнему используется субъектами угроз как эффективный способ обойти меры безопасности и получить контроль над целевой системой. Несмотря на развитие технологий безопасности, злоумышленники продолжают использовать эту технику, поскольку она эксплуатирует фундаментальное доверие к легитимным приложениям.
Indicators of Compromise
IPv4
- 160.20.147.254
SHA256
- 0490ceace858ff7949b90ab4acf4867878815d2557089c179c9971b2dd0918b9
- 0e9071714a4af0be1f96cffc3b0e58520b827d9e58297cb0e02d97551eca3799
- 553ff37a1eb7e8dc226a83fa143d6aab8a305771bf0cec7b94f4202dcd1f55b2
- b4f1cae6622cd459388294afb418cb0af7a5cb82f367933e57ab8c1fb0a8a8a7
- e72e49dc1d95efabc2c12c46df373173f2e20dab715caf58b1be9ca41ec0e172