Chinese hackers richten zich op Russisch militair personeel met bijgewerkte PlugX-malware

Logiciel malveillant PlugX Nachrichten

Er is waargenomen dat een aan China gelinkte, door de overheid gesponsorde bedreigingsacteur zich heeft gericht op Russisch sprekenden met een bijgewerkte versie van een trojan voor externe toegang, PlugX genaamd.

Secureworks schreef de poging tot inbraak toe aan een bedreigingsactor die het volgt als Bronze President, en aan de bredere cyberbeveiligingsgemeenschap onder de monikers Mustang Panda, TA416, HoneyMyte, RedDelta en PKPLUG.

“De oorlog in Oekraïne heeft veel landen ertoe aangezet hun cybercapaciteiten in te zetten om inzicht te krijgen in wereldwijde gebeurtenissen, politieke machinaties en motivaties”, zegt het cyberbeveiligingsbedrijf. zei in een rapport gedeeld met The Hacker News. “Dit verlangen naar situationeel bewustzijn strekt zich vaak uit tot het verzamelen van informatie van bondgenoten en ‘vrienden’.”

Bronze President, actief sinds ten minste juli 2018, heeft een geschiedenis in het uitvoeren van spionageoperaties door gebruik te maken van aangepaste en openbaar beschikbare tools om compromissen te sluiten, toegang op lange termijn te behouden en gegevens te verzamelen van interessante doelen.

De belangrijkste van zijn tools is PlugX, een Windows-achterdeur waarmee bedreigingsactoren een verscheidenheid aan opdrachten op geïnfecteerde systemen kunnen uitvoeren en die in de loop der jaren door verschillende Chinese door de staat gesponsorde actoren is gebruikt.

De laatste bevindingen van Secureworks suggereren een uitbreiding van dezelfde campagne die eerder door Proofpoint en ESET vorige maand werd beschreven, waarbij gebruik is gemaakt van een nieuwe variant van PlugX met de codenaam Hodur, zo gelabeld vanwege de overlappingen met een andere versie genaamd THOR die op de website verscheen. scène in juli 2021.

PlugX-malware

De aanvalsketen begint met een kwaadaardig uitvoerbaar bestand genaamd “Blagoveshchensk – Blagoveshchensk Border Detachment.exe” dat zich voordoet als een schijnbaar legitiem document met een PDF-pictogram, dat, wanneer het wordt geopend, leidt tot de implementatie van een versleutelde PlugX-payload van een externe server.

“Blagoveshchensk is een Russische stad dicht bij de Chinese grens en is de thuisbasis van het 56th Blagoveshchenskiy Red Banner Border Guard Detachment”, aldus de onderzoekers. “Deze connectie suggereert dat de bestandsnaam is gekozen om zich te richten op functionarissen of militairen die bekend zijn met de regio.”

Het feit dat Russische functionarissen mogelijk het doelwit waren van de campagne van maart 2022, geeft aan dat de dreigingsactor zijn tactieken aan het ontwikkelen is als reactie op de politieke situatie in Europa en de oorlog in Oekraïne.

“Het richten op Russisch sprekende gebruikers en Europese entiteiten suggereert dat de dreigingsactoren bijgewerkte taken hebben gekregen die de veranderende vereisten voor het verzamelen van inlichtingen van de [People’s Republic of China]’, aldus de onderzoekers.

De bevindingen komen weken nadat een andere in China gevestigde natiestaatgroep bekend als Nomad Panda (ook bekend als RedFoxtrot) met gemiddeld vertrouwen werd gekoppeld aan aanvallen op defensie- en telecomsectoren in Zuid-Azië door gebruik te maken van nog een andere versie van PlugX, genaamd Talisman.

“PlugX is de afgelopen jaren in verband gebracht met verschillende Chinese acteurs,” Trellix dat is genoteerd vorige maand. “Dit feit roept de vraag op of de codebasis van de malware wordt gedeeld door verschillende Chinese door de staat gesteunde groepen.”

“Aan de andere kant geeft het vermeende lek van de PlugX v1-bouwer, zoals gerapporteerd door Airbus in 2015, aan dat niet alle gevallen van PlugX noodzakelijkerwijs verband houden met Chinese actoren”, voegde het cyberbeveiligingsbedrijf eraan toe.

David
Rate author
Hackarizona