Cercetătorii au blocat un server de comandă și control pentru o variantă a malware-ului PlugX și au observat în șase luni peste 2,5 milioane de conexiuni de la adrese IP unice.
De la începutul lunii septembrie, serverul de blocare a primit peste 90.000 de cereri în fiecare zi de la gazde infectate din peste 170 de țări.
De la septembrie 2023, când Sekoia a capturat adresa IP unică asociată cu C2-ul respectiv, s-au înregistrat peste 2.495.297 de IP-uri unice din 170 de țări care interacționează cu serverul de blocare.
Această acțiune a permis firmei de securitate să analizeze traficul, să cartografieze infecțiile, să prevină exploatarea malitioasă a clienților și să elaboreze planuri eficiente de dezinfectare.
Cercetătorii de la compania de securitate cibernetică Seqoia au cheltuit 7 dolari pentru a achiziționa adresa IP 45.142.166[.]112 corespunzătoare unui server de comandă și control (C2) pentru o variantă a malware-ului PlugX pe care actorul de amenințare nu-l mai folosește.
Adresa IP C2 a fost documentată într-un raport din martie 2023 de la Sophos despre o nouă versiune a PlugX care se răspândise la „locuri situate la aproape jumătate de drum una față de cealaltă în întreaga lume.” Malware-ul dobândise deja capacități de auto-răspândire prin dispozitive USB.
După ce Seqoia a contactat compania de găzduire și a cerut controlul asupra IP-ului, cercetătorii au obținut acces la shell-ul unui server folosind IP-ul respectiv.
A fost configurat un server web simplu pentru a imita comportamentul original al serverului C2, ceea ce a permis analiștilor să captureze cereri HTTP de la gazdele infectate și să observe variațiile în flux.
Operația de blocare a dezvăluit că între 90.000 și 100.000 de sisteme trimiteau cereri zilnic, iar în decurs de șase luni, peste 2,5 milioane de IP-uri unice s-au conectat la server din toate colțurile lumii.
În timp ce viermele s-a răspândit în 170 de țări, doar 15 dintre ele reprezintă peste 80% din infecții, cu Nigeria, India, China, Iran, Indonezia, Marea Britanie, Irak și Statele Unite fiind în fruntea listei.
Cercetătorii subliniază că C2-ul PlugX blocat nu are identificatori unici, ceea ce duce la un număr nesigur de gazde infectate:
Sekoia spune că victimologia ar putea indica un interes strategic din perspectiva Chinei, deoarece majoritatea infecțiilor sunt observate în țările implicate în inițiativa globală de dezvoltare a infrastructurii Belt and Road a Chinei.
Cu toate acestea, cercetătorii remarcă că, deși această concluzie este plauzibilă, trebuie luată cu un strop de sare, deoarece, după patru ani de activități, malware-ul a avut timp să se răspândească pretutindeni.
În timp ce inițial PlugX a fost asociat cu operațiuni susținute de stat de origine chineză, malware-ul s-a transformat într-un instrument comun de-a lungul anilor și a fost utilizat de diferiți actori de amenințare, unii implicați în activități cu motivație financiară, cum ar fi ransomware-ul.
Sekoia a formulat două strategii pentru a curăța calculatoarele care ajung la serverul său de blocare și a cerut echipelor naționale de securitate cibernetică și agențiilor de aplicare a legii să se alăture efortului de dezinfectare.
Unul dintre metode este trimiterea comenzii de autodistrugere suportată de PlugX, care ar trebui să-l elimine de pe calculatoare fără acțiuni suplimentare.
Cu toate acestea, chiar dacă malware-ul este eliminat de pe gazdă, există totuși un risc de reinfecție deoarece malware-ul se răspândește prin dispozitive USB și curățarea acestora nu este posibilă în acest fel.
O metodă mai complexă implică dezvoltarea și implementarea unui payload personalizat pe mașinile infectate pentru a elimina PlugX atât din sistem cât și din unitățile USB infectate conectate la acestea.
Firma de securitate cibernetică a oferit să furnizeze CERT-urilor naționale informațiile necesare pentru a efectua „dezinfectarea suverană” pentru a evita complexitatea legală a trimiterii comenzilor către stațiile de lucru ale altor persoane.
Indiferent de metodă, Sekoia remarcă că rețelele izolate deja afectate de PlugX sunt inaccesibile și același lucru se aplică unităților USB infectate care nu sunt conectate.
Cercetătorii de la Sequia spun că botnetul construit cu versiunea de PlugX blocată poate fi considerat „mort” deoarece operatorii malware-ului nu mai au control.
Cu toate acestea, „oricine are capacități de interceptare” sau este capabil să preia controlul asupra serverului C2 poate să-l reactiveze în scopuri malitioase prin trimiterea de comenzi arbitrare unei gazde infectate.
PlugX a fost utilizat din cel puțin 2008 în principal în operațiuni de spionaj și acces la distanță de grupuri legate de Ministerul de Securitate de Stat din China. A fost folosit de mai multe grupuri de atac adesea pentru a viza organizații guvernamentale, de apărare, tehnologie și politice, în principal în Asia și ulterior extinzându-se în Occident.
De-a lungul timpului, creatorii PlugX au apărut în spațiul public și unii cercetători cred că sursa de cod a malware-ului a fost scursă în jurul anului 2015. Acest lucru, împreună cu faptul că instrumentul a primit mai multe actualizări, face dificilă atribuirea PlugX unui actor sau agendă specifică.
Malware-ul are capacități extinse, inclusiv executarea de comenzi, încărcarea și descărcarea de fișiere, înregistrarea tastelor apăsate și accesarea informațiilor de sistem.
O variantă recentă a lui PlugX include un component wormabil, permițându-i să se răspândească autonom prin infectarea unităților detașabile cum ar fi stick-urile USB și să atingă potențial sisteme izolate de rețea.
Leave a Reply