Hackers Exploiting Remote Desktop Software Flaws to Deploy PlugX Malware
2023/03/09 TheHackerNews — リモート・デスクトップ・プログラムである、Sunlogin/AweSun のセキュリティ脆弱性を悪用する脅威アクターたちが、マルウェア PlugX を展開していることが判明した。この脆弱性は、侵害したシステム上に各種のペイロードを配信するために悪用され続けていると、AhnLab Security Emergency Response Center (ASEC) は最新の調査結果で述べている。こうして配信されたマルウェアには、Sliver post-exploitation framework/XMRig cryptocurrency miner/Gh0st RAT/Paradise ransomware などが含まれている。そして PlugX は、最近になって配布されるようになったという。
この、モジュール型のマルウェアである PlugX は、中国に拠点を置く脅威アクターたちにより広範囲で利用されており、システム制御/情報窃取を行うための新機能が継続的に追加されているようだ。ASEC の観測によると、脆弱性の悪用に成功した脅威アクターたちは、PowerShell コマンドを実行し、リモート・サーバから実行ファイルと DLL ファイルを取得していたとされる。
この攻撃で悪用される実行ファイルは、サイバー・セキュリティ企業である ESET の正規の HTTP Server Service であり、DLL サイドローディングと呼ばれる手法で DLL ファイルをロードし、最終的にメモリ上で PlugX ペイロードを実行する。
2022年9月のレポートで Security Joes は、「PlugX のオペレーターは、多数のアンチウイルス実行ファイルを含む、DLL サイドローディングに脆弱であり、かつ、信頼されているバイナリを多用している。それにより証明されるのは、被害者に対する効果的な感染の発生である」と指摘している。
このバックドアの機能として挙げられるのは、任意のサービスの起動/外部ソースからのファイルのダウンロードと実行/データを採取するプラグインのドロップ/RDP (Remote Desktop Protocol) を使った伝播などである。
ASEC は、「PlugX は、複数の攻撃で着実に使用され続けているが、新しい機能も追加され続けている。バックドアである PlugX がインストールされると、脅威アクターはユーザーの知らないところで、感染させたシステムをコントロールできるようになる」と述べている。
このところ、PlugX の名前をよく聞くようになりました。今日の記事で説明されている攻撃手法は、ESET の正規の HTTP Server Service を悪用する DLL サイドローディングですが、オープンソースの Windows デバッガ・ツールである、x32dbg を装う手口も観測されています。
2023/02/27:PlugX:Windows の x32dbg を装う攻撃
2023/01/27:Black Basta:USB デバイスに PlugX 亜種
2021/07/28:脆弱化した MS Exchange に PlugX マルウェア
IoT OT Security News 
You must be logged in to post a comment.