PlugX - это модульный RAT (троян удаленного доступа), который, помимо прочего, известен своими многочисленными функциями, такими как эксфильтрация данных, перехват нажатий клавиш и бэкдор. Первые публикации и исследовательские работы по этой вредоносной программе относятся к 2012 году.
- Вредоносные программы могут доставляться по-разному в зависимости от кампаний, например, от того, является ли первоначальный формат доставки самораспаковывающимся или нет. Однако загрузчик PlugX всегда состоит из трех основных компонентов: легитимного исполняемого файла, вредоносного модуля и вредоносной полезной нагрузки. Вредоносная программа существует уже более десяти лет, но ее формат не изменился.
- Техники, направленные на уклонение от безопасности: Загрузчик PlugX известен тем, что использует техники боковой загрузки DLL в целях уклонения. Однако вредоносная программа использует дополнительные техники уклонения. Это повышает вероятность успешного развертывания основной полезной нагрузки PlugX.
Indicators of Compromise
SHA256
- 37b3fb9aa12277f355bbb334c82b41e4155836cf3a1b83e543ce53da9d429e2f
- 3d64e638f961b922398e2efaf75504da007e41ea979f213f8eb4f83e00efeebb
- 4b23f8683e184757e8119c8c68063f547f194e1abd758dcbd4dacf70e3908fc1
- 59ba902871e98934c054649ca582e2a01707998acc78b2570fef43dbd10f7b6f
- 6914e9de21f5cce3f5c1457127122c13494ed82e6e2d95a8200a46bdb4cd7075
- 6cd5079a69d9a68029e37f2680f44b7ba71c2b1eecf4894c2a8b293d5f768f10
- 96876d24284ff4e4155a78c043c8802421136afbc202033bf5e80d1053e3833f
- 9fb33e460ca1654fcc555a6f040288617d9e2efe626f611b77522606c724b59b
- 9fffb3894b008d5a54343ccf8395a47acfe953394fffe2c58550e444ff20ec47
- acdc4987b74fdf7a32dff87d56c43df08cce071b493858e3ce32fcf8d6372837
- b2b93c7c4ac82623f74b14fe73f2c3f8e58e3306cc903c5ae71bc355cb5bd069
- eaaa7899b37a3b04dcd02ad6d51e83e035be535f129773621ef0f399a2a98ee3