PlugX
aka: Destroy RAT, Kaba, Korplug, Sogu, TIGERPLUG, RedDelta
Aktéři: APT 22, APT 26, APT31, APT41, Aurora Panda, Calypso group, DragonOK, EMISSARY PANDA, Hellsing, Hurricane Panda, Leviathan, Mirage, Mustang Panda, NetTraveler, Nightshade Panda, SLIME29, Samurai Panda, Stone Panda, UPS, Violin Panda
Společnost RSA popisuje malware PlugX jako rodinu malwaru RAT (Remote Access Trojan), který je známý od roku 2008 a slouží jako backdoor k převzetí kontroly nad zařízením oběti. Malware PlugX má mnoho variant. Zpravidla je spojován s čínskými státem sponzorovanými aktéry. Jakmile dojde k infikování zařízení, může útočník v napadeném systému vzdáleně provádět několik druhů příkazů, kterými může:
- získat informace o zařízení,
- zachytit snímky obrazovky,
- zaznamenávat stisknutí kláves,
- restartovat systém,
- spravovat procesy (vytvářet, ukončit a vypisovat),
- spravovat služby (vytvářet, spouštět, zastavovat atd.),
- spravovat položky registru systému Windows, otevírat shell atd.
Malware také zaznamenává své aktivity do textového souboru.
Nejnovější reference:
3. července 2023: Čínští aktéři útočí na Evropu kampaní SmugX
15. května 2023: Skupina používá vlastní backdoor k útokům na organizace ve státní správě, letectví a dalších odvětvích (pouze anglicky)
3. května 2023: Nová kampaň skupiny Mustang Panda proti Austrálii (pouze anglicky)
9. března 2023: Malware PlugX se šíří skrze zneužití zranitelnosti (pouze anglicky)
2. února 2023: Skupina Mustang Panda používá k doručení malwaru PlugX návnadu s motivem Evropské komise (pouze anglicky)
26. ledna 2023: Čínský malware PlugX ukrytý v zařízeních USB? (pouze anglicky)
Zdroj: malpedia