کمیته رکن چهارم – پژوهشگران امنیت سایبری از گسترش نسخهای تازه از بدافزار PlugX در حملاتی هدفمند علیه زیرساختهای مخابراتی و صنعتی در کشورهای آسیای مرکزی و جنوبی خبر دادهاند؛ حملاتی که با تکیه بر ابزارهای پیچیده و تکنیکهای رمزگذاری پیشرفته انجام میشود.
به گزارش کمیته رکن چهارم، این نسخهٔ جدید PlugX با استفاده از تکنیک DLL side-loading و الگوریتم ترکیبی XOR-RC4-RtlDecompressBuffer، بههمراه کلیدهای مشابه RC4، محمولههای خود را در حافظه رمزگشایی و اجرا میکند. تحلیلگران امنیتی اعلام کردهاند این بدافزار شباهتهای فنی با دربپشتیهای RainyDay و Turian دارد و به گروههای تهدیدشناختهشدهای همچون Lotus Panda و BackdoorDiplomacy نسبت داده میشود.
در یکی از موارد حمله، یک شرکت مخابراتی در قزاقستان هدف قرار گرفته است؛ کشوری که با ازبکستان، دیگر هدف پیشین این حملات، هممرز است. زنجیرههای حمله شامل استفاده از نرمافزارهای قانونی برای بارگذاری مخربترین اجزای بدافزار هستند. کارشناسان معتقدند همپوشانی در روشها و اهداف، احتمال ارتباط یا اشتراک ابزار میان این گروهها را افزایش میدهد.
همزمان، گزارش دیگری از شرکت Palo Alto Networks از ادامه فعالیت بدافزار Bookworm خبر داده که توسط گروه Mustang Panda از سال ۲۰۱۵ توسعه یافته است. این ابزار با قابلیتهایی مانند اجرای دستورات، بارگذاری فایل و ایجاد دسترسی پایدار، کشورهای عضو اتحادیه جنوبشرقی آسیا (ASEAN) را هدف قرار داده است.
این بدافزار با بهرهگیری از دامنههای قانونی و تکنیک رمزگذاری پیشرفته تلاش میکند در ترافیک عادی شبکه پنهان بماند و با معماری ماژولار خود، تحلیل آن را دشوار میسازد. کارشناسان تأکید دارند این بدافزار همچنان بخشی فعال از عملیاتهای سایبری بلندمدت گروههای همسو با چین است.
