PlugX – IoT OT Security News

Sunlogin／AweSun の脆弱性を悪用して展開：PlugX マルウェア感染が止まらない

Hackers Exploiting Remote Desktop Software Flaws to Deploy PlugX Malware

2023/03/09 TheHackerNews — リモート・デスクトップ・プログラムである、Sunlogin／AweSun のセキュリティ脆弱性を悪用する脅威アクターたちが、マルウェア PlugX を展開していることが判明した。この脆弱性は、侵害したシステム上に各種のペイロードを配信するために悪用され続けていると、AhnLab Security Emergency Response Center (ASEC) は最新の調査結果で述べている。こうして配信されたマルウェアには、Sliver post-exploitation framework／XMRig cryptocurrency miner／Gh0st RAT／Paradise ransomware などが含まれている。そして PlugX は、最近になって配布されるようになったという。

Mustang Panda は中国由来：新たな MQsTTang バックドアで欧州／台湾を狙っている

Chinese Hackers Targeting European Entities with New MQsTTang Backdoor

2023/03/03 TheHackerNews — 中国に拠点を置く Mustang Panda が、2023年1月に開始したソーシャルエンジニアリング・キャンペーンの一環として、MQsTTang と呼ばれる新たなカスタム・バックドアを使用していることが確認された。ESET の研究者である Alexandre Côté Cyr は、新しいレポートの中で「MQsTTang は、このグループにおける大半のマルウェアとは異なり、既存のファミリーや一般に公開されているプロジェクトをベースにしていないようだ」と述べている。

PlugX マルウェアは中国由来：Windows の x32dbg を装い攻撃を仕掛ける

PlugX Trojan disguised as a legitimate Windows open-source tool in recent attacks

2023/02/27 SecurityAffairs — オープンソースの Windows デバッガ・ツール x32dbg を装う、PlugX RAT (Remote Access Trojan) の配布を目的とした新たな攻撃を、Trend Micro が発見した。x32dbg は、カーネル・モードやユーザー・モードのコード／クラッシュ・ダンプ／CPU レジスタなどの解析を可能にするツールである。

Black Basta ランサムウェアの新戦術：USB デバイスに PlugX の高スティルス亜種

Black Basta Deploys PlugX Malware in USB Devices With New Technique

2023/01/27 InfoSecurity — Black Basta ランサムウェアの侵害に関する調査により、接続されたリムーバブル USB メディアデバイスに自動的に感染する、新しい PlugX マルウェアの亜種が使用されていることが判明した。Palo Alto Networks の Unit 42 は、この調査結果を Infosecurity と共有し、新しい PlugX 亜種はワーム可能であり、Windows OS から自身を隠すように USB デバイスに感染すると付け加えている。

Trend Micro の DLL ハイジャック脆弱性が FIX：中国の APT による悪用が生じていた？

Trend Micro fixes bug Chinese hackers exploited for espionage

2022/05/24 BleepingComputer — Trend Micro が発表した内容は、中国の脅威グループが不正な DLL をサイドロードし、マルウェアを展開するために使用した、Trend Micro Security の DLL ハイジャック脆弱性に対するパッチ適用についてである。５月上旬に Sentinel Labs が明らかにしたように、Windows 上で動作するセキュリティ製品の高権限を悪用する攻撃者は、悪意を持って細工した独自の DLL をメモリ上にロードし、権限昇格とコードの実行を可能にしていたようだ。

中国ハッキング・グループの Rootkit は Windows 10 をターゲットにスパイ活動を行う

Chinese Hackers Used a New Rootkit to Spy on Targeted Windows 10 Users

2021/10/01 TheHackerNews — これまで詳細が不明だった、中国語を話す脅威アクターだが、東南アジアのターゲットを狙い、侵害された Windows システムにカーネルモード Rootkit をデプロイするために、2020年7月の時点から回避操作を行っていたようだ。Kaspersky が GhostEmperor と名付けた、このハッキング・グループによる攻撃は、標的となったホストに対する持続性と遠隔操作を可能にする、洗練されたマルチステージのマルウェア・フレームワークを使用していたとも言われている。

中国のハッカーたちが脆弱化した MS Exchange に PlugX マルウェアを注ぎ込む

Chinese Hackers Implant PlugX Variant on Compromised MS Exchange Servers

2021/07/28 TheHackerNews — 今年の３月に明らかになった、Microsoft Exchange Server の欠陥を悪用する中国のサイバー犯罪組織が、これまで文書化されていなかったリモート・アクセス・トロイの木馬 (RAT) の亜種を、東南アジア諸国の侵入したシステムに埋め込んでいる。Palo Alto Networks の脅威インテリジェンス・チームである Unit 42 は、今回の侵入を PKPLUG (別名：Mustang Panda / HoneyMyte) という名の脅威アクターによるものとし、侵入されたサーバーの１つに配信された、Thor と呼ばれるモジュール型 PlugX マルウェアの新バージョンを確認したと述べている。

M	T	W	T	F	S	S
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31