Araştırmacılar, Plugx kötü amaçlı yazılımlarının bir çeşidi için bir komut ve kontrol sunucusunu batırdılar ve altı ay içinde benzersiz IP adreslerinden 2,5 milyondan fazla bağlantı gözlemlediler.
Geçen Eylül'den bu yana, düden sunucusu her gün 170'den fazla ülkede enfekte olan ev sahiplerinden 90.000'den fazla talep aldı.
Sekoia'nın belirli C2 ile ilişkili benzersiz IP adresini yakaladığı Eylül 2023'ten bu yana, düdeniyle etkileşime giren 170 ülkeden 2.495.297'den fazla benzersiz IP'yi kaydetti.
Bu eylem, güvenlik firmasının trafiği analiz etmesini, enfeksiyonları haritalamasını, müşterilerin kötü niyetli kullanılmasını önlemesini ve etkili dezenfeksiyon planları tasarlamasını sağladı.
Siber güvenlik şirketi Sekoia'daki araştırmacılar, tehdit aktörünün artık kullanmadığı Plugx kötü amaçlı yazılımlarının bir varyantı için bir komut ve kontrol (C2) sunucusuna karşılık gelen IP adresini 45.142.166 [.] 112 almak için 7 $ harcadı.
C2 IP adresi, Mart 2023'te Sophos'tan bir raporda, "Dünyanın neredeyse yarısında birbirinden yarım yerlere" yayılmış yeni bir PLAPX sürümü hakkında belgelendi. Kötü amaçlı yazılım zaten USB cihazları üzerinden kendi kendine yayılan yetenekler kazanmıştı.
Sekoia barındırma şirketiyle temasa geçtikten ve IP üzerinde kontrol talep ettikten sonra, araştırmacılar IP'yi kullanarak bir sunucuya kabuk erişimi elde ettiler.
Orijinal C2 sunucusunun davranışını MIMIC'de basit bir web sunucusu kuruldu, bu da analistlerin enfekte ana bilgisayarlardan HTTP isteklerini yakalamasını ve akıştaki varyasyonları gözlemlemelerini sağladı.
Düden operasyonu, 90.000 ila 100.000 arasında sistemin günlük olarak talep gönderdiğini ve altı aydan fazla dünyanın dört bir yanından sunucuya bağlı 2,5 milyondan fazla benzersiz IP'nin olduğunu ortaya koydu.
Solucan 170 ülkeye yayılırken, bunlardan sadece 15'i toplam enfeksiyonların% 80'inden fazlasını oluşturur, Nijerya, Hindistan, Çin, İran, Endonezya, İngiltere, Irak ve ABD listenin en üstünde yer almaktadır.
Araştırmacılar, düdenlenmiş Plugx C2'nin benzersiz tanımlayıcılara sahip olmadığını vurgulayan, bu da güvenilir olmayan enfekte olan konakçılara yol açıyor:
Sekoia, enfeksiyonların çoğu Çin’in Kemer ve Yol Girişimi küresel altyapı geliştirme stratejisine katılan ülkelerde görüldüğü için, mağdurun Çin perspektifinden stratejik ilgiyi gösterebileceğini söylüyor.
Bununla birlikte, araştırmacılar bu sonuç akla yatkın olmasına rağmen, "bir tuz tanesi ile alınması gerektiğini, çünkü dört yıllık faaliyetlerden sonra her yere yayılacak zamanı vardı."
Plugx başlangıçta Çin kökenli devlet destekli operasyonlarla ilişkilendirilirken, kötü amaçlı yazılım yıllar boyunca ortak bir araca dönüştü ve bazıları fidye yazılımı gibi finansal olarak motive olmuş faaliyetlerde yer alan çeşitli tehdit aktörleri tarafından kullanıldı.
Sekoia, düdenlerine ulaşan bilgisayarları temizlemek için iki strateji oluşturdu ve ulusal siber güvenlik ekipleri ve kolluk kuvvetleri dezenfeksiyon çabalarına katılmaya çağırdı.
Bir yöntem, ek eylemler olmadan bilgisayarlardan kaldırılması gereken PlugX tarafından desteklenen kendi kendini delete komutunu göndermektir.
Bununla birlikte, kötü amaçlı yazılım ana bilgisayardan çıkarılmış olsa bile, kötü amaçlı yazılım USB cihazlarına yayıldığı ve bunları temizlemek bu şekilde mümkün değildir.
Daha karmaşık bir yöntem, hem sistemden hem de kendilerine bağlı enfekte USB sürücülerinden PlugX'i kaldırmak için enfekte edilmiş makinelerde özel bir yükün geliştirilmesini ve dağıtılmasını içerir.
Siber güvenlik firması, diğer insanların iş istasyonlarına komuta göndermenin yasal karmaşıklığını önlemek için “egemen dezenfeksiyon” yapmak için gerekli bilgileri ulusal sertifikalar sunmayı teklif etti.
Yöntemden bağımsız olarak, Sekoia, Plugx tarafından zaten etkilenen hava kaplı ağların ulaşamayacağı ve aynı şey takılmamış enfekte USB sürücüleri için de geçerli olduğunu belirtiyor.
Sekoia araştırmacıları, eklenti yazılım operatörleri artık kontrol altında olmadığından, PLAGX'in detaylı sürümüyle inşa edilen botnet'in "ölü" olarak kabul edilebileceğini söylüyor.
Bununla birlikte, "müdahale özelliklerine sahip olan herkes" veya C2 sunucusunun kontrolünü ele geçirebilen herkes, enfekte olmuş bir ana bilgisayara keyfi komutlar göndererek kötü niyetli amaçlar için canlandırabilir.
Plugx, en az 2008'den beri esas olarak Çin Devlet Güvenliği Bakanlığı ile bağlantılı gruplardan casusluk ve uzaktan erişim operasyonlarında kullanılmaktadır. Birden fazla saldırı grubu tarafından genellikle Hükümet, savunma, teknoloji ve siyasi örgütleri, öncelikle Asya'da ve daha sonra Batı'da genişlemek için kullanılmıştır.
Zamanla, Plugx Builders kamusal alanda ortaya çıktı ve bazı araştırmacılar, kötü amaçlı yazılımların kaynak kodunun 2015 civarında sızdırıldığına inanıyor. Bu ve aracın birden fazla güncelleme alması, PLAGX'i belirli bir aktöre veya gündeme bağlamayı zorlaştırıyor.
Kötü amaçlı yazılım, komut yürütme, dosya yükleme ve indirme, tuş vuruşlarını kaydetme ve sistem bilgilerine erişme gibi kapsamlı özelliklere sahiptir.
Yakın tarihli bir PLUGX varyantı, USB flaş sürücüleri gibi çıkarılabilir sürücüleri enfekte ederek ve potansiyel olarak hava kapalı sistemlere ulaşarak özerk bir şekilde yayılmasına izin veren bir solucanlanabilir bileşene sahiptir.
Yeni Brokewell kötü amaçlı yazılım Android cihazları devralır, verileri çalar
Sahte İş Görüşmeleri Yeni Python Backdoor ile Geliştiricileri Hedef
Coralraider saldırıları, Info-Stealer kötü amaçlı yazılımları itmek için CDN önbelleği kullanır
Hackerlar, Guptiminer kötü amaçlı yazılımları bırakmak için antivirüs güncellemelerini ele geçiriyor
Gitlab, Github tarzı CDN Kusurundan etkilenen kötü amaçlı yazılım barındırma sağlar
Kaynak: Bleeping Computer