【安全資訊】Mustang Panda組織新一輪PlugX變體瞄準香港
Avira研究人員最近發現了新版本的PlugX惡意軟件,被用于監視香港和越南的目標。感染惡意軟件和啟動惡意有效負載的方式與以前的版本類似,但有一些區別。Plugx使用合法應用程序(例如ESET防病毒軟件,Adobe Update等)執行DLL劫持,加載程序是一個很小的DLL文件,有效負載是一個加密的DAT文件。DLL負責解密和執行DAT文件,DLL利用垃圾代碼和簡單的混淆來通過堆棧字符串隱藏API調用和動態加載API。DAT文件內部包含解密密鑰,密鑰的大小可以變化。有效負載對每個API調用都使用包裝函數,以模糊API調用機制,解密后的有效負載僅加載到內存中,磁盤上沒有占用空間,是PlugX的定制版本,具有簡單的混淆功能,可繞過靜態檢測并隱藏字符串 。該變體與其他PlugX變體區別的功能之一是能夠通過USB進行傳播。檢測到可移動USB卷驅動器后,PlugX變體創建一個名為"RECYCLE.BIN"的隱藏文件夾,并復制EXE文件,加載程序DLL和加密的DAT文件。然后,它隱藏根目錄中的所有文件夾,并為每個文件夾創建LNK,以欺騙受害者單擊LNK文件。該變體是研究人員在追蹤Mustang Panda APT活動中發現的。
失陷指標(IOC)22
這么重要的IOC情報,趕緊
登錄
來看看吧~
0條評論
看了這么久,請
登錄
,對他說點啥~
0
0
分享
微信掃一掃分享