技術支援
文件
登錄
聯繫我們
研究人員發現PlugX惡意軟體感染過程
奧班拉·奧佩耶米
實施期間: 2023年2月7 日 - TuxCare專家團隊
Palo Alto Networks Unit 42安全研究人員調查了一種PlugX惡意軟體變種,該變種可以隱藏可移動USB設備上的惡意文件,然後感染它們連接的Windows主機。該操作是為了回應黑巴斯塔勒索軟體的入侵。
該惡意軟體採用一種「新技術」,使其在更長的時間內未被發現,並可能傳播到氣隙系統。新的PlugX變種據說是「可蠕蟲的」,這意味著它可以感染USB設備並從Windows操作系統中隱藏自己。
威脅參與者在最近的攻擊中使用了名為“x64dbg.exe”的 32 位版本的 Windows 調試工具,以及載入 PlugX 有效負載 (x32bridge.dat 的中毒版本“x32bridge.dll”。
“這種PlugX惡意軟體還使用一種新技術將攻擊者文件隱藏在USB設備中,這使得惡意檔只能在* nix操作系統上查看,或者通過將USB設備安裝在取證工具中,”Unit 42關於新威脅的公告中寫道。“由於這種逃避檢測的能力,PlugX惡意軟體可以繼續傳播,並可能跳轉到氣隙網路。
然而,沒有證據表明PlugX(幾個中國民族國家團體廣泛使用的後門)或Gootkit與Black Basta勒索軟體團伙聯繫起來,這意味著它被其他行為者使用。PlugX 的 USB 變體以使用稱為不間斷空格 (U+00A0) 的 Unicode 字元來隱藏插入工作站的 USB 設備中的檔案而著稱。
最後,一個視窗快捷方式 (.LNK)檔在快閃記憶體驅動器的根資料夾中創建用於從隱藏目錄執行惡意軟體。PlugX 示例的任務不僅是在主機上安裝惡意軟體,而且還要通過將惡意軟體隱藏在回收站資料夾中來將其複製到可能連接到它的任何可行動裝置上。
Unit 42還表示,該團隊發現了一種PlugX變體,可以感染USB設備並從主機複製所有Adobe PDF和Microsoft Word檔。然後將副本放置在 USB 裝置上自動建立的隱藏資料夾中。
這篇文章的來源包括 TheHackerNews上的一篇文章。
