【安全资讯】Mustang Panda组织新一轮PlugX变体瞄准香港

Avira研究人员最近发现了新版本的PlugX恶意软件，被用于监视香港和越南的目标。感染恶意软件和启动恶意有效负载的方式与以前的版本类似，但有一些区别。Plugx使用合法应用程序(例如ESET防病毒软件，Adobe Update等)执行DLL劫持，加载程序是一个很小的DLL文件，有效负载是一个加密的DAT文件。DLL负责解密和执行DAT文件，DLL利用垃圾代码和简单的混淆来通过堆栈字符串隐藏API调用和动态加载API。DAT文件内部包含解密密钥，密钥的大小可以变化。有效负载对每个API调用都使用包装函数，以模糊API调用机制，解密后的有效负载仅加载到内存中，磁盘上没有占用空间，是PlugX的定制版本，具有简单的混淆功能，可绕过静态检测并隐藏字符串 。该变体与其他PlugX变体区别的功能之一是能够通过USB进行传播。检测到可移动USB卷驱动器后，PlugX变体创建一个名为"RECYCLE.BIN"的隐藏文件夹，并复制EXE文件，加载程序DLL和加密的DAT文件。然后，它隐藏根目录中的所有文件夹，并为每个文件夹创建LNK，以欺骗受害者单击LNK文件。该变体是研究人员在追踪Mustang Panda APT活动中发现的。