Bilgisayar Korsanları, PlugX Kötü Amaçlı Yazılımını Dağıtmak İçin Uzak Masaüstü Yazılım Kusurlarından Yararlanıyor

09 Mart 2023Ravie LakshmananTehdit İstihbaratı / Kötü Amaçlı Yazılım

Sunlogin ve AweSun gibi uzak masaüstü programlarındaki güvenlik açıkları, tehdit aktörleri tarafından PlugX kötü amaçlı yazılımını dağıtmak için kullanılıyor.

AhnLab Güvenlik Acil Müdahale Merkezi (ASEC), bir yeni analizgüvenliği ihlal edilmiş sistemlerde çeşitli yükler sağlamak için kusurların sürekli kötüye kullanıldığını işaret ettiğini söyledi.

Buna Sliver sömürü sonrası çerçevesi, XMRig kripto para madenciliği, Gh0st RAT ve Paradise fidye yazılımı dahildir. PlugX, bu listeye en son eklenen.

Modüler kötü amaçlı yazılım, sistem kontrolü ve bilgi hırsızlığı gerçekleştirmeye yardımcı olmak için sürekli olarak eklenen yeni özelliklerle Çin merkezli tehdit aktörleri tarafından kapsamlı bir şekilde kullanılmaya başlandı.

ASEC tarafından gözlemlenen saldırılarda, kusurların başarılı bir şekilde kullanılmasının ardından, bir yürütülebilir dosyayı ve bir uzak sunucudan bir DLL dosyasını alan bir PowerShell komutunun yürütülmesi gelir.

Bu yürütülebilir dosya, DLL dosyasını DLL yan yükleme adı verilen bir teknikle yüklemek ve sonuç olarak bellekte PlugX yükünü çalıştırmak için kullanılan, siber güvenlik şirketi ESET’in yasal bir HTTP Sunucu Hizmetidir.

Security Joes, “PlugX operatörleri, çok sayıda anti-virüs yürütülebilir dosyası dahil olmak üzere DLL Yandan Yüklemeye karşı savunmasız olan çok çeşitli güvenilir ikili dosyalar kullanır.” kayıt edilmiş Eylül 2022 raporunda. “Bunun kurbanları enfekte ederken etkili olduğu kanıtlanmıştır.”

Arka kapı ayrıca isteğe bağlı hizmetleri başlatma, dosyaları harici bir kaynaktan indirip yürütme ve Uzak Masaüstü Protokolü (RDP) kullanarak veri toplayıp yayabilen eklentileri bırakma becerisiyle de dikkat çekiyor.

“Yeni özellikler ekleniyor [PlugX] ASEC, “Arka kapı PlugX kurulduğunda, tehdit aktörleri, kullanıcının bilgisi olmadan virüslü sistemin kontrolünü ele geçirebilir.”