Специалисты выявили новый вариант трояна PlugX под названием Thor, доставляемый на системы через уязвимости ProxyLogon.
Китайская киберпреступная группировка, известная своими атаками на страны Юго-Восточной Азии, эксплуатирует уязвимости ProxyLogon в Microsoft Exchange Server для заражения атакуемых систем ранее неизвестным трояном для удаленного доступа (RAT).
Подразделение Unit 42 ИБ-компании Palo Alto Networks отнесло атаки на счет киберпреступной группировки PKPLUG (другие названия Mustang Panda и HoneyMyte). Специалисты выявили новый вариант модульного вредоносного ПО PlugX под названием Thor, который был доставлен на один из взломанных серверов в качестве постэксплуатационного инструмента.
Впервые появившийся в 2008 году троян PlugX представляет собой полноценный имплант, внедряемый на второй стадии кибератак. Вредонос обладает функциями загрузки и модифицирования файлов, кейлоггинга, управления web-камерой и доступа к удаленной командной оболочке.
По словам экспертов, в исходном коде нового варианта трояна торговый знак PLUG был заменен на THOR. Файл, содержащий зашифрованную и сжатую полезную нагрузку PlugX, ссылается на свободно доступный расширенный инструмент восстановления и оптимизации, предназначенный для очистки и исправления проблем в реестре Windows.
Новый вариант PlugX оснащен большим количеством различных плагинов, позволяющих злоумышленникам осуществлять мониторинг, устанавливать обновления и взаимодействовать со скомпрометированными системами.
Связанные с атаками PlugX дополнительные индикаторы компрометации доступны здесь . Эксперты Unit 42 также выпустили Python-скрипт для дешифровки и разархивирования зашифрованной полезной нагрузки PlugX, не имея связанных загрузчиков PlugX.
Гравитация научных фактов сильнее, чем вы думаете