Peretas Cina Menanamkan Varian PlugX pada Server MS Exchange yang Disusupi

  • Whatsapp
Server MS Exchange

Kelompok spionase siber China yang dikenal menargetkan Asia Tenggara memanfaatkan kelemahan di Microsoft Exchange Server yang terungkap awal Maret ini untuk menyebarkan varian trojan akses jarak jauh (RAT) yang sebelumnya tidak terdokumentasi pada sistem yang disusupi.

Mengaitkan intrusi ke aktor ancaman bernama PKPLUG (alias Mustang Panda dan HoneyMyte), tim intelijen ancaman Unit 42 Palo Alto Networks mengatakan telah mengidentifikasi versi baru dari malware PlugX modular, yang disebut Thor, yang dikirimkan sebagai alat pasca-eksploitasi ke salah satu server yang dilanggar.

Bacaan Lainnya

Kencan kembali ke awal tahun 2008, PlugX adalah implan tahap kedua berfitur lengkap dengan kemampuan seperti mengunggah, mengunduh, dan memodifikasi file, pencatatan keystroke, kontrol webcam, dan akses ke shell perintah jarak jauh.

Tim Stack Overflow

“Varian yang diamati […] unik karena mengandung perubahan pada kode sumber intinya: penggantian kata merek dagang ‘PLUG’ menjadi ‘THOR,’” Peneliti Unit 42 Mike Harbison dan Alex Hinchliffe dicatat dalam penulisan teknis yang diterbitkan Selasa.

“Sampel THOR paling awal yang ditemukan adalah dari Agustus 2019, dan ini adalah contoh kode rebranded paling awal yang diketahui. Fitur-fitur baru diamati dalam varian ini, termasuk mekanisme pengiriman muatan yang ditingkatkan dan penyalahgunaan binari tepercaya.”

Server MS Exchange

Setelah Microsoft mengungkapkan pada 2 Maret bahwa peretas yang berbasis di China — dengan nama kode Hafnium — mengeksploitasi bug zero-day di server Exchange yang secara kolektif dikenal sebagai ProxyLogon untuk mencuri data sensitif dari target tertentu, beberapa pelaku ancaman, seperti grup ransomware (DearCry dan Black Kingdom) dan geng crypto-mining (LemonDuck), juga diamati mengeksploitasi kelemahan untuk membajak server Exchange dan menginstal web shell yang memberikan eksekusi kode pada tingkat hak istimewa tertinggi.

PKPLUG sekarang bergabung dengan daftar, menurut Unit 42, yang menemukan penyerang melewati mekanisme deteksi antivirus untuk menargetkan server Microsoft Exchange dengan memanfaatkan executable yang sah seperti BITSAdmin untuk mengambil file yang tampaknya tidak berbahaya (“Aro.dat”) dari GitHub yang dikendalikan aktor gudang.

Mencegah Pelanggaran Data

File, yang menampung muatan PlugX terenkripsi dan terkompresi, menyinggung a tersedia secara bebas alat perbaikan dan pengoptimalan lanjutan yang dirancang untuk membersihkan dan memperbaiki masalah di Windows Registry.

Sampel PlugX terbaru dilengkapi dengan berbagai plug-in yang “memberikan berbagai kemampuan kepada penyerang untuk memantau, memperbarui, dan berinteraksi dengan sistem yang disusupi untuk memenuhi tujuan mereka,” kata para peneliti. Tautan THOR ke PKPLUG berasal dari penyatuan infrastruktur perintah-dan-kontrol serta tumpang tindih dalam perilaku jahat yang terdeteksi di antara artefak PlugX lainnya yang baru ditemukan.

Indikator kompromi tambahan yang terkait dengan serangan dapat diakses di sini. Unit 42 juga telah membuat tersedia skrip Python yang dapat mendekripsi dan membongkar muatan PlugX terenkripsi tanpa memiliki pemuat PlugX terkait.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *