حدد الخبراء متغيرًا جديدًا من PlugX Trojan يسمى Thor ، يتم تسليمه إلى الأنظمة من خلال ثغرات ProxyLogon.
تستغل مجموعة مجرمي الإنترنت الصينية ، المعروفة بهجماتها على دول جنوب شرق آسيا ، ثغرات ProxyLogon في Microsoft Exchange Server لإصابة الأنظمة المعرضة للهجوم باستخدام حصان طروادة للوصول البعيد (RAT) غير معروف سابقًا.
عزا قسم من الوحدة 42 في شركة أمن المعلومات Palo Alto Networks الهجمات إلى مجموعة الإجرام الإلكتروني PKPLUG (أسماء أخرى Mustang Panda و HoneyMyte). حدد الخبراء نوعًا جديدًا من البرامج الضارة المعيارية PlugX تسمى Thor ، والتي تم تسليمها إلى أحد الخوادم المخترقة كأداة ما بعد الاستغلال.
إن برنامج PlugX Trojan ، الذي ظهر لأول مرة في عام 2008 ، عبارة عن غرسة كاملة يتم نشرها في المرحلة الثانية من الهجمات الإلكترونية. تحتوي البرامج الضارة على وظائف تنزيل الملفات وتعديلها ، وتسجيل لوحة المفاتيح ، والتحكم في كاميرا الويب ، والوصول إلى غلاف أوامر عن بُعد.
وفقًا للخبراء ، تم استبدال العلامة التجارية PLUG بـ THOR في الكود المصدري للمتغير الجديد من Trojan. الملف الذي يحتوي على روابط حمولة PlugX المشفرة والمضغوطة إلى أداة Advanced Repair and Optimization متاحة مجانًا مصممة لتنظيف وإصلاح المشكلات في سجل Windows.
تم تجهيز متغير PlugX الجديد بالعديد من المكونات الإضافية المختلفة التي تسمح للمهاجمين بمراقبة وتثبيت التحديثات والتفاعل مع الأنظمة المخترقة.
المؤشرات الإضافية للتسوية المتعلقة بهجمات PlugX متاحة هنا . قام خبراء الوحدة 42 أيضًا بإصدار برنامج نصي بلغة Python لفك تشفير وفك ضغط حمولة PlugX المشفرة دون الحاجة إلى أي برامج تحميل من نوع PlugX.
0 تعليقات