تحلیل بدافزار PlugX USB

چکیده

بدافزار PlugX حداقل از سال ۲۰۰۸ میلادی توسط گروه‌های مرتبط با دولت چین در عملیات جاسوسی استفاده شده است. این بدافزار ابتدا با هدف حمله به سازمان‌های دولتی و نظامی در کشورهای آسیایی و سپس کشورهای غربی توسعه داده شده است. برخی پژوهشگران اعتقاد دارند کد منبع این بدافزار در سال ۲۰۱۵ میلادی به بیرون درز کرده و توسط گروه‌های مختلف به‌روزرسانی شده است. PlugX اغلب با استفاده از روش بارگیری جانبی DLL در ماشین قربانی اجرا می‌شود. در این روش، یک برنامه اجرایی قانونی DLL مخربی را بارگیری می‌کند که باعث می‌شود مؤلفه اصلی بدافزار که در یک فایل باینری رمزشده قرار دارد، به حافظه نگاشت شده و سپس اجرا شود. در سال ۲۰۲۰ میلادی با هدف افزایش قابلیت‌های PlugX مولفه جدیدی به آن اضافه شده است که دستگاه‌های مختلفی که از طریق درگاه‌های USB به یک ماشین آلوده متصل می‌شوند را آلوده می‌کند. این نسخه جدید که با نام PlugX USB شناخته می‌شود را می‌توان نوعی تروجان دسترسی از راه دور (RAT) و نوعی کرم (Worm) در نظر گرفت که علاوه‌بر فراهم‌کردن امکان دسترسی از راه دور به ماشین قربانی می‌تواند به‌صورت خودکار تکثیر شده و در دستگاه‌های USB جدید منتشر شود. در ماه مارس سال ۲۰۲۳ میلادی شرکت امنیت سایبری Sophos گزارش داد که همه نمونه‌های PlugX با نشانی 45.142.166.112 (که توسط شرکت GreenCloud میزبانی می‌شود) ارتباط برقرار می‌کنند. لذا در ماه سپتامبر همان سال، شرکت امنیت سایبری Sekoia پس از درخواست از GreenCloud مالکیت این نشانی IP را به دست آورد و با راه‌اندازی یک کارگزار وب ساده تلاش کرد نقش کارگزار فرماندهی و کنترل (C&C) PlugX را ایفا کند. بررسی‌های انجام‌شده توسط این شرکت نشان داد که روزانه بین ۹۰ تا ۱۰۰ هزار میزبان آلوده با نشانی IP یکتا از بیش از ۱۷۰ کشور درخواست‌هایی را به این کارگزار وب ارسال می‌کنند.

...