中国关联PlugX与Bookworm恶意软件攻击亚洲电信及东盟网络

中亚和南亚国家的电信与制造业成为持续攻击活动目标，该活动分发名为PlugX（又称Korplug或SOGU）的已知恶意软件新变种。

思科Talos研究人员Joey Chen和Takeda Takahiro在本周发布的分析中表示：“新变种功能同时与RainyDay和Turian后门重叠，包括滥用相同合法应用进行DLL侧加载、用于加密/解密载荷的XOR-RC4-RtlDecompressBuffer算法以及使用的RC4密钥。”该网络安全公司指出，与此PlugX变种相关的配置与常规PlugX配置格式显著不同，转而采用RainyDay使用的相同结构。RainyDay是与被称为Lotus Panda（又称Naikon APT）的中国关联威胁组织相关的后门，卡巴斯基可能将其追踪为FoundCore并归因于名为Cycldek的中文威胁组织。

PlugX是一种模块化远程访问木马，被许多与中国结盟的黑客组织广泛使用，但最著名的是Mustang Panda（又称BASIN、Bronze President、Camaro Dragon、Earth Preta、HoneyMyte、RedDelta、Red Lich、Stately Taurus、TEMP.Hex和Twill Typhoon）。另一方面，Turian（又称Quarian或Whitebird）被评估为另一种与中国相关的高级持续性威胁组织BackdoorDiplomacy（又称CloudComputating或Faking Dragon）专门用于针对中东网络攻击的后门。

受害者模式——特别是对电信公司的关注——和技术恶意软件实施已产生证据，表明Lotus Panda和BackdoorDiplomacy之间可能存在联系，提高了这两个集群是同一实体或从共同供应商处获取工具的可能性。在该公司检测到的一起事件中，Naikon据称针对哈萨克斯坦的一家电信公司，该国与乌兹别克斯坦接壤，而乌兹别克斯坦此前曾被BackdoorDiplomacy单独针对。此外，两个黑客组织都被发现专注于南亚国家。

攻击链基本上涉及滥用与Mobile Popup Application相关的合法可执行文件来侧加载恶意DLL，然后该DLL用于在内存中解密和启动PlugX、RainyDay和Turian载荷。威胁组织策划的最近攻击波严重依赖PlugX，该恶意软件使用与RainyDay相同的配置结构，并包含嵌入式键盘记录插件。

Talos表示：“虽然我们不能断定Naikon和BackdoorDiplomacy之间存在明确联系，但存在显著重叠方面——例如目标选择、加密/解密载荷方法、加密密钥重用以及使用同一供应商支持的工具。这些相似性表明与该活动中中文行为者存在中等置信度关联。”

Mustang Panda的Bookworm恶意软件详解

该披露之际，Palo Alto Networks Unit 42揭示了自2015年以来Mustang Panda组织使用的Bookworm恶意软件内部工作原理，以获取对受感染系统的广泛控制。该高级远程访问木马具备执行任意命令、上传/下载文件、泄露数据和建立持久访问的能力。

今年3月初，该网络安全供应商表示识别出针对东南亚国家联盟（ASEAN）成员国的攻击以分发该恶意软件。

Bookworm利用看似合法的域或被入侵的基础设施进行C2通信，以便与正常网络流量混合。该恶意软件的某些变体还被发现与TONESHELL存在重叠，TONESHELL是自2022年底以来与Mustang Panda相关的已知后门。

与PlugX和TONESHELL类似，分发Bookworm的攻击链依赖DLL侧加载来执行载荷，尽管较新变体采用了一种将shellcode打包为通用唯一标识符（UUID）字符串的技术，然后对这些字符串进行解码和执行。

Unit 42研究员Kyle Wilhoit表示：“Bookworm以其独特的模块化架构而闻名，允许通过直接从命令与控制（C2）服务器加载附加模块来扩展其核心功能。这种模块化使静态分析更具挑战性，因为Leader模块依赖其他DLL来提供特定功能。Bookworm的这种部署和适应，与其他Stately Taurus操作并行运行，展示了其在该组织武器库中的长期作用。它还指向该组织对其开发和使用的持续长期承诺。”