يتم استغلال الثغرات الأمنية في برامج سطح المكتب البعيد مثل Sunlogin و AweSun من قبل جهات التهديد لنشر البرامج الضارة PlugX. قراصنة يستغلون عيوب برامج
قال مركز AhnLab للاستجابة للطوارئ الأمنية (ASEC) ، في تحليل جديد ، إنه يشير إلى استمرار إساءة استخدام العيوب لتقديم مجموعة متنوعة من الحمولات على الأنظمة المخترقة.
يتضمن ذلك إطار عمل Sliver لما بعد الاستغلال و XMRig cryptocurrency miner و Gh0st RAT و Paradise ransomware. PlugX هو أحدث إضافة إلى هذه القائمة.
تم استخدام البرامج الضارة المعيارية على نطاق واسع من قبل جهات التهديد الموجودة في الصين ، مع إضافة ميزات جديدة باستمرار للمساعدة في التحكم في النظام وسرقة المعلومات.
في الهجمات التي لاحظتها ASEC ، يتبع الاستغلال الناجح للعيوب تنفيذ أمر PowerShell الذي يسترد ملفًا قابلاً للتنفيذ وملف DLL من خادم بعيد.
هذا الملف القابل للتنفيذ عبارة عن خدمة خادم HTTP شرعية من شركة ESET للأمن السيبراني. والتي تُستخدم لتحميل ملف DLL عن طريق تقنية تسمى التحميل الجانبي لـ DLL وتشغيل حمولة PlugX في الذاكرة في النهاية.
أشار Security Joes في تقرير صدر في سبتمبر 2022 إلى أن “مشغلي PlugX يستخدمون مجموعة كبيرة ومتنوعة من الثنائيات الموثوقة والمعرضة للتحميل الجانبي لـ DLL. بما في ذلك العديد من البرامج التنفيذية لمكافحة الفيروسات”. وقد ثبت أن هذا الأمر فعّال في إصابة الضحايا بالعدوى “.
يتميز الباب الخلفي أيضًا بقدرته على بدء الخدمات التعسفية. وتنزيل الملفات وتنفيذها من مصدر خارجي. وإسقاط المكونات الإضافية التي يمكنها جمع البيانات ونشرها باستخدام بروتوكول سطح المكتب البعيد (RDP). قراصنة يستغلون عيوب برامج
قال ASEC: “يتم إضافة ميزات جديدة إلى [PlugX] حتى يومنا هذا حيث لا يزال يشهد استخدامًا ثابتًا في الهجمات”. “عندما يتم تثبيت الباب الخلفي. PlugX. يمكن لممثلي التهديد السيطرة على النظام المصاب دون علم المستخدم.”