ช่องโหว่ด้านความปลอดภัยของซอฟต์แวร์ Remote Desktop เช่น Sunlogin และ AweSun กำลังถูกใช้โดยผู้ไม่หวังดีเพื่อติดตั้งมัลแวร์ PlugX
การวิเคราะห์ล่าสุดจาก AhnLab Security Emergency Response Center (ASEC) รายงานว่า กำลังพบการใช้ช่องโหว่ในการโจมตีอย่างต่อเนื่องเพื่อติดตั้ง payloads หลากหลายรูปแบบบนระบบที่ถูกโจมตี
ซึ่งรวมถึง Sliver post-exploitation framework, XMRig cryptocurrency miner, Gh0st RAT, และ Paradise ransomware โดย PlugX เป็นส่วนเสริมล่าสุดของรายการนี้
โมดูลของมัลแวร์นี้ได้ถูกนำไปใช้อย่างกว้างขวางโดยกลุ่มผู้โจมตีจากจีน โดยมีการเพิ่มฟีเจอร์ใหม่ ๆ เข้าไปอย่างต่อเนื่องเพื่อช่วยในการควบคุมระบบ และการขโมยข้อมูล
ในการโจมตีที่ตรวจพบโดย ASEC มีการใช้ช่องโหว่เพื่อดำเนินการรันคำสั่ง PowerShell เพื่อเรียกใช้ไฟล์ exe และ ไฟล์ DLL จาก C2 Server
ไฟล์ exe ที่ใช้ในการโจมตีนี้เป็น HTTP Server Service ที่ถูกต้องจากบริษัทความปลอดภัยทางไซเบอร์ ESET ซึ่งถูกนำมาใช้ในการดาวน์โหลดไฟล์ DLL โดยเทคนิคนี้เรียกว่า "DLL side-loading" และรัน PlugX payload ลงในหน่วยความจำ
ตามรายงานของ Security Joes เมื่อเดือนกันยายน 2022 ระบุว่า "PlugX ใช้ไฟล์ไบนารีที่น่าเชื่อถือ และใช้เทคนิค DLL Side-Loading รวมถึงไฟล์ exe ของโปรแกรม anti-virus จำนวนมาก" ซึ่งได้รับการพิสูจน์ว่ามีประสิทธิภาพในการแพร่กระจายมัลแวร์
Backdoor PlugX ยังมีความสามารถในการเริ่มต้นการทำงานได้ด้วยตัวเอง, ดาวน์โหลด และรันไฟล์จากภายนอก, และฝัง plugin ที่สามารถเก็บข้อมูล และเผยแพร่โดยใช้ Remote Desktop Protocol (RDP)
ASEC ระบุว่า "PlugX ยังมีการเพิ่มฟีเจอร์ใหม่ ๆ อย่างต่อเนื่อง เพื่อใช้ในการโจมตี โดยเมื่อมัลแวร์ Backdoor PlugX ถูกติดตั้ง ผู้โจมตีจะสามารถควบคุมระบบที่ถูกโจมตีได้โดยที่ผู้ใช้งานไม่รู้ตัว"
ที่มา : thehackernews