Multi-License Discount Quote
脅威データベース Backdoors DOPLUGS バックドア

DOPLUGS バックドア

Backdoors, Advanced Persistent Threat (APT)Mezoまで
翻訳内容:
日本語

中国と関係のある脅威アクターである Mustang Panda は、DOPLUGS と呼ばれる PlugX ( Korplugとしても知られる) バックドアのカスタマイズされた亜種を使用して、アジアのいくつかの国を標的にしました。 PlugX マルウェアのこの調整されたバージョンは、完全に統合されたバックドア コマンド モジュールが欠如している点で典型的な亜種とは異なります。代わりに、後者のモジュールをダウンロードするために特別に設計されています。 DOPLUGS 攻撃の主な焦点は台湾とベトナムにある標的であり、香港、インド、日本、マレーシア、モンゴル、さらには中国でも発生は少ないです。

マスタングパンダは10年以上活動していたと考えられている

BASIN、Bronze President、Camaro Dragon、Earth Preta、HoneyMyte、RedDelta、Red Lich、Stately Taurus、TA416、TEMP などのさまざまな別名でも知られる Mustang Panda は、コア ツールとして PlugX の使用に大きく依存しています。 。この脅威アクターは少なくとも 2012 年から活動を続けていますが、その活動が世間の注目を集めるようになったのは 2017 年です。

Mustang Panda の手口には、さまざまなカスタム マルウェアを配信するように設計された、細心の注意を払って作成されたスピア フィッシング キャンペーンの実行が含まれます。 2018 年以降、この脅威アクターは、 RedDelta 、Thor、 Hodur 、DOPLUGS (SmugX という名前のキャンペーンを通じて配布) など、独自にカスタマイズしたバージョンの PlugX を展開することが知られています。

マスタング パンダによって組織された侵害の連鎖は、一連の高度な戦術を採用しています。これには、第 1 段階のペイロードの配信メカニズムとしてフィッシング メッセージを使用することが含まれます。このペイロードは、おとりドキュメントを受信者に提示しながら、DLL サイドローディングの影響を受けやすい正規の署名付き実行可能ファイルを密かに解凍します。この DLL サイドローディング技術は、ダイナミック リンク ライブラリ (DLL) をロードするために使用され、PlugX マルウェアを復号化して実行します。

PlugX マルウェアは展開されると、 Poison Ivy Remote Access Trojan (RAT) またはCobalt Strike Beacon のいずれかを取得し、Mustang Panda によって制御されるサーバーとの接続を確立します。この複雑な一連の行動は、マスタング パンダのサイバー作戦の高度かつ永続的な性質を浮き彫りにしています。

DOPLUGS バックドアはサイバー犯罪グループのマルウェア アーセナルに新たに追加されました

2022 年 9 月に研究者によって初めて観察された DOPLUGS は、4 つの異なるバックドア コマンドを備えたダウンローダーとして機能します。特に、これらのコマンドの 1 つは、PlugX マルウェアの従来のバージョンのダウンロードを容易にするように設計されています。

セキュリティ専門家は、 KillSomeOneと呼ばれるモジュールを組み込んだ DOPLUGS の亜種も検出しました。このプラグインは、マルウェアの配布、情報収集、USB ドライブを介したドキュメントの盗難など、複数の目的を果たします。

DOPLUGS のこの特定の亜種には、追加のランチャー コンポーネントが含まれています。このコンポーネントは、DLL サイドローディング技術を使用して、正規の実行可能ファイルを実行します。さらに、コマンドの実行や、脅威アクターが制御するサーバーからの次段階のマルウェアのダウンロードなどの機能もサポートしています。

KillSomeOne モジュールを備えたカスタムメイドの PlugX 亜種は、特に USB ドライブを介した伝播用に設計されており、情報セキュリティの研究者によって 2020 年 1 月には発見されました。このマルウェアは、香港とベトナムを標的とした一連の攻撃の一環として導入されました。

2023 年末、台湾の政治、外交、政府機関をターゲットとした DOPLUGS を利用したマスタング パンダ キャンペーンが明らかになりました。この攻撃操作には独特の特徴があり、有害な DLL は Nim プログラミング言語を使用して作成されていました。以前のバージョンとは異なり、この新しい亜種は、PlugX を復号化するために RC4 アルゴリズムの独自の実装を採用しており、以前のバージョンでの Windows Cryptsp.dll ライブラリの従来の使用法とは異なります。

トレンド

Ldhy ランサムウェア

Ransomware
研究者たちは、マルウェアの脅威の調査を通じて、Ldhy という名前の新しいランサムウェアを発見しました。この脅威的なソフトウェアは、さまざまな種類のファイルを暗号化する機能を備えています。さらに、暗号化プロセス中にファイル名に個別の拡張子「.ldhy」が追加されます。たとえば、元々「1.jpg」という名前だったファイルは「1.jpg.ldhy」に変換され、「2.pdf」は「2.pdf.ldh...

MIRROR ランサムウェア

Ransomware
研究者らは、潜在的なマルウェアの脅威を徹底的に分析した結果、MIRROR がランサムウェアの亜種であると最終的に特定しました。 MIRROR 脅威の主な目的は、侵害されたデバイスに存在するファイルを暗号化することです。さらに、ファイルの名前変更を実行し、2 つの身代金メモを発行します。1 つはポップアップ ウィンドウの形式で、もう 1 つは「info-MIRROR.txt」という名前のテキス...

Troll Stealer

Malware, Advanced Persistent Threat (APT), Stealers
北朝鮮と関係のある国民国家俳優キムスキーは、新たに確認された情報窃取マルウェアである Golang プログラミング言語に基づいて構築された Troll Stealer を展開したと考えられています。この脅威的なソフトウェアは、SSH 認証情報、FileZilla 情報、C ドライブのファイルとディレクトリ、ブラウザ データ、システムの詳細、画面キャプチャなど、さまざまな種類の機密データを侵害...

最も見られました

画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

Issue
63,700
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

「プリンタドライバが利用できません」エラーを修正する方法

Issue
52,131
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...

Msedge.exeとは何ですか?

Issue
45,744
一部の Windows ユーザーは、システムのバックグラウンドで「msedge.exe」という名前のプロセスがアクティブになっていることに気付く場合があります。通常、この特定のプロセスは Microsoft Edge ブラウザーの一部であるため、心配する必要はありません。 msedge.exe アプリケーションがシステムの CPU または RAM リソースを大量に消費している場合でも、ブラウ...
読み込んでいます...