bu PlugX uzaktan erişim truva atının, güvenlik korumalarını atlatmak ve bir hedef sistemin denetimini ele geçirmek amacıyla x64dbg adlı açık kaynaklı bir Windows hata ayıklama aracı kılığına girdiği gözlemlendi.
Trend Micro araştırmacıları Buddy Tancio, Jed Valderama ve Catherine Loveria, “Bu dosya, Windows için genellikle çekirdek modu ve kullanıcı modu kodunu, kilitlenme dökümlerini veya CPU kayıtlarını incelemek için kullanılan meşru bir açık kaynaklı hata ayıklayıcı aracıdır.” söz konusu geçen hafta yayınlanan bir raporda.
PlugX olarak da bilinir Korplugbir sömürü sonrası modüler implantdiğer özelliklerinin yanı sıra, veri hırsızlığı gibi çoklu işlevleri ve güvenliği ihlal edilmiş makineyi hain amaçlar için kullanma yeteneği ile bilinir.
İlk olarak 2012’de on yıl önce belgelenmiş olmasına rağmen, kötü amaçlı yazılımın ilk örnekleri Şubat 2008’e kadar uzanıyor. Trend Micro raporu o zaman. Yıllar geçtikçe PlugX, Çin bağlantılı tehdit aktörleri ve siber suç grupları tarafından kullanıldı.
Kötü amaçlı yazılımın kullandığı temel yöntemlerden biri, adı verilen bir tekniktir. DLL yandan yükleme yüklemek için kötü niyetli DLL dijital olarak imzalanmış bir yazılım uygulamasından, bu durumda x64dbg hata ayıklama aracı (x32dbg.exe).
Burada, DLL yandan yükleme saldırılarının DLL arama sırası mekanizması Windows’ta hileli bir yük yürüten meşru bir uygulamayı yerleştirmek ve ardından çağırmak için.
Araştırmacılar, “Meşru bir uygulama olan x32dbg.exe’nin geçerli dijital imzası, bazı güvenlik araçlarını karıştırabilir, tehdit aktörlerinin radarın altından uçmasına, kalıcılığı sürdürmesine, ayrıcalıkları artırmasına ve dosya yürütme kısıtlamalarını atlamasına olanak tanır” dedi.
PlugX’i yüklemek için x64dbg’nin kaçırıldığı geçen ay Palo Alto Networks Unit 42 tarafından ifşa edildi.
En Son Kötü Amaçlı Yazılım Kaçırma Taktiklerini ve Önleme Stratejilerini Keşfedin
Dosya tabanlı saldırılarla ilgili en tehlikeli 9 efsaneyi yıkmaya hazır mısınız? Yaklaşan web seminerimize katılın ve hasta sıfır enfeksiyonlarına ve sıfır gün güvenlik olaylarına karşı mücadelede bir kahraman olun!
Kalıcılık, sistem yeniden başlatıldıktan sonra bile sürekli erişim sağlamak için Windows Kayıt Defteri değişiklikleri ve zamanlanmış görevlerin oluşturulması yoluyla elde edilir.
Trend Micro’nun saldırı zinciri analizi ayrıca x32dbg.exe’nin sistem bilgilerini toplayan ve uzak bir sunucudan ek talimatlar bekleyen bir UDP kabuk istemcisi olan bir arka kapı dağıtmak için kullanıldığını ortaya çıkardı.
“Güvenlik teknolojisindeki gelişmelere rağmen, saldırganlar [DLL side-loading] meşru uygulamalara olan temel güveni kötüye kullandığı için” dedi araştırmacılar.
“Bu teknik, sistemler ve uygulamalar dinamik kitaplıklara güvenmeye ve yüklemeye devam ettiği sürece, saldırganların kötü amaçlı yazılım dağıtması ve hassas bilgilere erişim elde etmesi için geçerliliğini koruyacaktır.”
