Francuski pravosudni organi, u saradnji sa Europolom, pokrenuli su takozvanu “operaciju dezinfekcije” kako bi se kompromitovane hostove oslobodili poznatog zlonamjernog softvera pod nazivom PlugX.
Parisko tužilaštvo, Parquet de Paris, saopštilo je da je inicijativa pokrenuta 18. jula i da se očekuje da će trajati “nekoliko meseci”.
Dalje se navodi da je oko stotinu žrtava lociranih u Francuskoj, Malti, Portugalu, Hrvatskoj, Slovačkoj i Austriji već imalo koristi od napora čišćenja.
Razvoj dolazi skoro tri mjeseca nakon što je francuska firma za cyber sigurnost Sekoia otkrila da je u septembru 2023. potopila server za komandu i kontrolu (C2) povezan sa PlugX trojancem tako što je potrošila 7 dolara za sticanje IP adrese. Takođe je napomenuto da skoro 100.000 jedinstvenih javnih IP adresa svakodnevno šalje PlugX zahteve na zaplenjenu domenu.
PlugX (aka Korplug) je trojanski program za daljinski pristup (RAT) koji naširoko koriste hakeri Kine-nexus-a od najmanje 2008. godine, zajedno s drugim porodicama zlonamjernog softvera kao što su Gh0st RAT i ShadowPad.
Zlonamjerni softver se obično pokreće unutar kompromitovanih hostova koristeći tehnike bočnog učitavanja DLL-a, omogućavajući hakerima da izvrše proizvoljne naredbe, upload/download fajlova, nabrajaju datoteke i prikupljaju osjetljive podatke.
“Ovaj backdoor, koji je prvobitno razvio Zhao Jibin (aka. WHG), evoluirao je tokom vremena u različitim varijantama”, rekao je Sekoia ranije u aprilu. „PlugX builder je bio podijeljen između nekoliko skupova za upad, od kojih je većina pripisana providnim kompanijama povezanim s kineskim ministarstvom državne sigurnosti.”
Tokom godina, takođe je ugradio komponentu koja se može crvljivati i koja mu omogućava da se širi preko zaraženih USB diskova, efektivno zaobilazeći mreže sa vazdušnim razmakom.
Sekoia, koja je osmislila rješenje za brisanje PlugX-a, rekla je da varijante zlonamjernog softvera sa mehanizmom za distribuciju USB-a dolaze sa komandom za samo-brisanje (“0x1005”) da se uklone sa ugroženih radnih stanica, iako trenutno ne postoji način da se ukloni sa sami USB uređaji.
„Prvo, crv ima sposobnost da postoji na mrežama sa vazdušnim razmakom, što ove infekcije čini izvan našeg dometa“, navodi se u saopštenju. „Drugo, i možda još važnije, crv PlugX može boraviti na zaraženim USB uređajima duži period bez povezivanja na radnu stanicu.“
S obzirom na pravne komplikacije povezane s daljinskim brisanjem zlonamjernog softvera sa sistema, kompanija je dalje napomenula da odluku odgađa nacionalnim timovima za hitne slučajeve (CERT), agencijama za provođenje zakona (LEA) i vlastima za sajber bezbjednost.
“Nakon izvještaja sa Sekoia.io, francuske pravosudne vlasti pokrenule su operaciju dezinfekcije kako bi demontirale botnet pod kontrolom crva PlugX. PlugX je utjecao na nekoliko miliona žrtava širom svijeta”, rekao je Sekoia za The Hacker News. “Rješenje za dezinfekciju koje je razvio Sekoi.io TDR tim predloženo je preko Europola partnerskim zemljama i trenutno se primjenjuje.”
„Zadovoljni smo plodonosnom saradnjom sa hakerima koji su uključeni u Francuskoj (odeljenje J3 pariškog javnog tužilaštva, policija, žandarmerija i ANSSI) i međunarodno (Europol i policijske snage trećih zemalja) kako bi se preduzele mere protiv dugotrajnih zlonamernih sajber aktivnosti.”
Izvor:The Hacker News