Los actores de amenazas están explotando las vulnerabilidades de seguridad en los programas de escritorio remoto como Sunlogin y AweSun para implementar el malware PlugX.
AhnLab Security Emergency Response Center (ASEC), en un nuevo análisisdijo que marca el abuso continuo de las fallas para entregar una variedad de cargas útiles en sistemas comprometidos.
Esto incluye el marco de trabajo posterior a la explotación de Sliver, el minero de criptomonedas XMRig, Gh0st RAT y el ransomware Paradise. PlugX es la última incorporación a esta lista.
Los actores de amenazas con sede en China han utilizado ampliamente el malware modular, y se agregan continuamente nuevas funciones para ayudar a realizar el control del sistema y el robo de información.
En los ataques observados por ASEC, la explotación exitosa de las fallas es seguida por la ejecución de un comando de PowerShell que recupera un ejecutable y un archivo DLL de un servidor remoto.
Este ejecutable es un servicio de servidor HTTP legítimo de la empresa de ciberseguridad ESET, que se utiliza para cargar el archivo DLL mediante una técnica llamada carga lateral de DLL y, en última instancia, ejecuta la carga útil de PlugX en la memoria.
«Los operadores de PlugX utilizan una gran variedad de binarios confiables que son vulnerables a la carga lateral de DLL, incluidos numerosos ejecutables de antivirus», Security Joes anotado en un informe de septiembre de 2022. «Se ha demostrado que esto es efectivo al infectar a las víctimas».
Descubra los peligros ocultos de las aplicaciones SaaS de terceros
¿Conoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa? Únase a nuestro seminario web para conocer los tipos de permisos que se otorgan y cómo minimizar el riesgo.
La puerta trasera también se destaca por su capacidad para iniciar servicios arbitrarios, descargar y ejecutar archivos desde una fuente externa y soltar complementos que pueden recopilar datos y propagarse mediante el Protocolo de escritorio remoto (RDP).
«Se están agregando nuevas características a [PlugX] incluso hasta el día de hoy, ya que continúa viendo un uso constante en los ataques”, dijo ASEC. “Cuando se instala la puerta trasera, PlugX, los actores de amenazas pueden obtener el control del sistema infectado sin el conocimiento del usuario”.