Команда Trend Micro по расширенному обнаружению и реагированию (MxDR) обнаружила, что файл x32dbg.exe использовался (с помощью техники DLL Search Order Hijacking или T1574.001) для боковой загрузки вредоносной DLL, которую мы идентифицировали как вариант PlugX (Trojan.Win32.KORPLUG.AJ.enc). Этот файл представляет собой легитимный инструмент отладчика с открытым исходным кодом для Windows, который обычно используется для изучения кода режима ядра и пользовательского режима, дампов аварийных ситуаций или регистров процессора.
Между тем, PlugX - это известный троян удаленного доступа (RAT), который используется для получения удаленного доступа и контроля над взломанными машинами. Он позволяет злоумышленнику получить несанкционированный доступ к системе, украсть конфиденциальные данные и использовать взломанную машину в злонамеренных целях.
Indicators of Compromise
IPv4
- 160.20.147.254
SHA256
- 0490ceace858ff7949b90ab4acf4867878815d2557089c179c9971b2dd0918b9
- 0e9071714a4af0be1f96cffc3b0e58520b827d9e58297cb0e02d97551eca3799
- 553ff37a1eb7e8dc226a83fa143d6aab8a305771bf0cec7b94f4202dcd1f55b2
- b4f1cae6622cd459388294afb418cb0af7a5cb82f367933e57ab8c1fb0a8a8a7
- e72e49dc1d95efabc2c12c46df373173f2e20dab715caf58b1be9ca41ec0e172
- ec5cf913773459da0fd30bb282fb0144b85717aa6ce660e81a0bad24a2f23e15