В марте 2023 года компания Sophos опубликовала статью о PlugX, разновидности вредоносной программы, способной распространяться через скомпрометированные флеш-накопители. Она была создана в 2020 году и имеет возможность заражения червями, а также совершает кражу документов. В статье говорится, что все образцы PlugX взаимодействуют только с одним IP-адресом - 45.142.166[.]112, расположенным на хостинге GreenCloud.
В сентябре 2023 года IP-адрес 45.142.166[.]112 был завладет Sophos для уничтожения ботнета. Исследователи установили веб-сервер и начали записывать HTTP-запросы, получаемые от зараженных устройств, чтобы составить карту заражений. Ежедневно на сервер поступало от 90 до 100 тысяч уникальных IP-адресов, отправляющих запросы PlugX.
В результате Sophos предложила концепцию суверенной дезинфекции, которая позволяла правоохранительным органам удаленно удалить вредоносную программу с зараженных узлов. В блоге компании были подробно рассмотрены процесс перехвата IP-адреса, методы сбора телеметрии с зараженных рабочих станций и криптография связи PlugX.
PlugX - старое кибероружие, используемое в различных кибератаках, начиная с 2008 года. Вначале оно использовалось против пользователей, связанных с правительством, а позже его цели расширились на западные организации. Главным способом заражения является схема побочной загрузки DLL. Интерфейс управления PlugX позволяет операторам управлять зараженными хостами и выполнять различные команды.
В июле 2020 года операторы набора вторжений Mustang Panda решили добавить в PlugX червячный компонент с целью расширения его возможностей и атак на несколько стран. Этот червеобразный компонент заражает флеш-накопители и копирует себя на зараженные узлы. В статье также описаны шаги, которые компонент предпринимает для своего размножения и запуска на зараженных устройствах.
Понимая, что червеобразный компонент может стать неуправляемым и размножаться во многих сетях, операторы решили отказаться от своих C2. Это привело к появлению проблем в управлении тысячами зараженных узлов, так как внутреннее устройство и интерфейс управления PlugX не рассчитаны на такой масштаб.
Indicators of Compromise
IPv4
- 103.56.53.46
- 43.254.217.165
- 45.142.166.112
- 45.251.240.55
SHA256
- 2304891f176a92c62f43d9fd30cae943f1521394dce792c6de0e097d10103d45
- 3a53bd36b24bc40bdce289d26f1b6965c0a5e71f26b05d19c7aa73d9e3cfa6ff
- 432a07eb49473fa8c71d50ccaf2bc980b692d458ec4aaedd52d739cb377f3428
- 6bb959c33fdfc0086ac48586a73273a0a1331f1c4f0053ef021eebe7f377a292
- 8b8adc6c14ed3bbeacd9f39c4d1380835eaf090090f6f826341a018d6b2ad450
- b9f3cf9d63d2e3ce1821f2e3eb5acd6e374ea801f9c212eebfa734bd649bec7a
- e8f55d0f327fd1d5f26428b890ef7fe878e135d494acda24ef01c695a2e9136d