В сфере информационной безопасности редко что-то возникает на пустом месте. Чаще старые, казалось бы, забытые техники атак возвращаются в новом обличье, находя бреши в современных системах защиты. Именно это сейчас демонстрирует обновлённый вариант печально известного вредоносного ПО PlugX, который эволюционировал в полноценный USB-червь. Его новая волна заражений примечательна географическим разбросом: очаги фиксируются одновременно в Папуа - Новой Гвинее, Гане, Монголии, Зимбабве и Нигерии. Такая необычная картина указывает на целенаправленные атаки против изолированных объектов, расположенных на разных континентах.
Описание
PlugX - это бэкдор, также классифицируемый как троян удалённого доступа (RAT), предположительно китайского происхождения. Его ключевой особенностью долгое время была техника подмены DLL-библиотек (DLL sideloading), когда вредоносный код загружается в память через легитимный, но уязвимый процесс. Способность же распространяться через съёмные USB-носители делает его особо опасным для сетей с воздушным зазором (air-gapped), физически изолированных от интернета. Червь не только проникает в такие сети, но и использует флеш-накопители для хищения конфиденциальных данных, которые затем могут быть вынесены физически.
Новый вариант привлёк внимание исследователей компании Sophos в августе 2022 года, а затем повторно в январе 2023-го. Анализ показал, что у червя появилась новая полезная нагрузка (payload), а также изменилась инфраструктура. Вредонос теперь связывается с командным сервером (C2, Command and Control), который ранее не ассоциировался напрямую с этой угрозой. Специалисты Sophos сообщили, что активность была зафиксирована системой CryptoGuard, которая обнаружила признаки эксфильтрации данных.
Механика атаки остаётся изощрённой. Злоумышленники используют уязвимость в чистом исполняемом файле AvastSvc.exe (легитимный компонент антивируса Avast), который подвержен подмене DLL. Вредоносная библиотека wsc.dll загружается в этот процесс, после чего расшифровывается и исполняется основной модуль PlugX. На заражённой системе создаётся каталог RECYCLER.BIN, где в зашифрованном виде хранятся похищенные файлы. Для маскировки червь применяет несколько хитростей. Например, он создаёт на USB-накопителе ярлык, выглядящий как значок съёмного диска. При его открытии жертва невольно запускает вредоносный код. Остальные файлы на флешке помечаются атрибутами "скрытый" и "системный", оставаясь невидимыми в проводнике Windows по умолчанию.
Более того, червь манипулирует системным каталогом, заставляя Windows отображать в нём содержимое настоящей корзины пользователя, что ещё сильнее сбивает с толку. Реальное же содержимое, включая похищенные документы, можно увидеть только через командную строку или файловые менеджеры вроде Total Commander. Червь целенаправленно собирает файлы форматов Microsoft Office и PDF, шифрует их и переименовывает, кодируя имена в base64. Вся собранная информация о системе (результаты выполнения команд вроде "ipconfig", "systeminfo", "netstat") также сохраняется в зашифрованном виде.
Особый интерес представляет установленный связь с командным сервером по IP-адресу 45.142.166[.]112. Ранее этот адрес упоминался в контексте активности угрозы PKPLUG, также известной как Mustang Panda - группировки, тесно ассоциируемой с PlugX. Новые данные укрепляют эту связь, указывая на то, что ранее разрозненные свидетельства могут быть частью одной кампании. Возвращение USB-червей в арсенал групп продвинутых постоянных угроз (APT) не случайно. После десятилетия относительного затишья, когда этот вектор считался устаревшим, атаки через съёмные носители вновь становятся эффективным инструментом для проникновения в критически важные изолированные сети, где другие методы могут не сработать.
География инцидентов - от островов Тихого океана до Африки и Центральной Азии - говорит о том, что целью, вероятно, являются правительственные, исследовательские или промышленные объекты с особым режимом безопасности. Для специалистов по защите это тревожный сигнал. Недостаточно полагаться только на сетевые средства защиты. Необходимо возрождать и ужесточать политики контроля съёмных носителей, включая их полный запрет или использование аппаратно изолированных станций для проверки, а также регулярно проводить тренировки для сотрудников, чтобы они могли распознавать подобные методы социальной инженерии. История с PlugX напоминает, что в кибербезопасности прошлое имеет свойство возвращаться, и только комплексный подход может противостоять таким гибридным угрозам.
Индикаторы компрометации
IPv4
- 45.142.166.112
SHA256
- 352fb4985fdd150d251ff9e20ca14023eab4f2888e481cbd8370c4ed40cfbb9a
- 432a07eb49473fa8c71d50ccaf2bc980b692d458ec4aaedd52d739cb377f3428
- 5b807629ab299abec70f88f861487c55a6795d6e27e5d85c64080f072132558c
- 6bb959c33fdfc0086ac48586a73273a0a1331f1c4f0053ef021eebe7f377a292
- e8f55d0f327fd1d5f26428b890ef7fe878e135d494acda24ef01c695a2e9136d
- edaa8b62467246d9a43e0f383ed05bc3272d2f8b943a79d9d526f8225c58d1e6
