PlugX和Bookworm恶意软件攻击瞄准亚洲电信及东盟网络

中亚和南亚国家的电信及制造业已成为一场持续攻击活动的目标，该活动正在传播一种名为PlugX（又名Korplug或SOGU）的已知恶意软件的新变种。

思科Talos的研究人员陈乔伊（Joey Chen）和武田隆弘（Takahiro Takeda）在本周发布的一份分析报告中表示：“这种新变种的特征与RainyDay和Turian后门程序存在重叠，包括滥用相同的合法应用程序进行DLL侧加载、用于加密/解密有效载荷的XOR-RC4-RtlDecompressBuffer算法，以及所使用的RC4密钥。”

这家网络安全公司指出，与PlugX变种相关的配置与常见的PlugX配置格式存在显著差异，而是采用了与RainyDay相同的结构。RainyDay是一种后门程序，与一个被称为莲花熊猫（又名Naikon APT）的、与中国有关联的威胁行为体相关。卡巴斯基（Kaspersky）可能也将其追踪为FoundCore，并将其归属于一个名为Cycldek的汉语威胁团伙。

PlugX是一种模块化远程访问木马（RAT），被许多与中国结盟的黑客组织广泛使用，但最主要的使用者是“野马熊猫”（又名BASIN、青铜总统、科迈罗龙、地饿鬼、HoneyMyte、红三角洲、红巫妖、庄严金牛座、TEMP.Hex和斜纹台风）。

Turian（又名Quarian或Whitebird）另一方面被评估为一个后门程序，专门由另一个与中国有关联的高级持续性威胁（APT）组织BackdoorDiplomacy（又名CloudComputating或Faking Dragon）用于针对中东的网络攻击。

受害者特征模式——尤其是对电信公司的关注——以及恶意软件的技术实施方式，都提供了证据表明“莲花熊猫”（Lotus Panda）和“后门外交”（BackdoorDiplomacy）之间可能存在关联，这使得以下两种可能性升高：要么这两个攻击集群是同一组织，要么它们从同一个供应商处获取工具。

该公司发现的一起事件显示，据称Naikon攻击了哈萨克斯坦的一家电信公司。哈萨克斯坦与乌兹别克斯坦接壤，而乌兹别克斯坦此前已被BackdoorDiplomacy列为攻击目标。此外，这两个黑客团伙均被发现将目标对准了南亚国家。

这些攻击链本质上是通过滥用与移动弹窗应用相关的合法可执行文件，来侧载一个恶意DLL，该DLL随后被用于在内存中解密并启动PlugX、RainyDay和Turian有效载荷。该威胁 actor 近期策划的攻击浪潮严重依赖PlugX，它采用与RainyDay相同的配置结构，并包含一个嵌入式键盘记录器插件。

“虽然我们无法得出奈康（Naikon）与‘后门外交’（BackdoorDiplomacy）之间存在明确关联的结论，但二者存在显著的重叠之处——例如目标选择、加密/解密有效载荷方法、加密密钥的重复使用以及使用同一供应商支持的工具，”塔洛斯（Talos）表示。“这些相似之处表明，在此次活动中，与一个说中文的行为者存在中等置信度的关联。”

详细解析野马熊猫组织的Bookworm恶意软件

这一披露发布之际，帕洛阿尔托网络公司的Unit 42部门揭示了“书虫”恶意软件的内部运作机制。自2015年以来，“野马熊猫”黑客组织便利用这种先进的远程访问工具（RAT）来全面控制受感染的系统。该恶意软件具备执行任意命令、上传/下载文件、窃取数据以及建立持久访问权限等功能。

今年3月早些时候，这家网络安全供应商表示，其发现了针对东南亚国家联盟（东盟）成员国的攻击，这些攻击旨在传播恶意软件。

Bookworm利用看似合法的域名或被攻陷的基础设施来实现命令与控制（C2），从而融入正常的网络流量中。人们还发现，该恶意软件的部分变种与TONESHELL存在重叠之处，后者是自2022年末起与Mustang Pana相关联的已知后门程序。

与PlugX和TONESHELL类似，传播Bookworm的攻击链依靠DLL侧加载来执行有效载荷，不过较新的变体采用了一种技术，即将shellcode打包为通用唯一标识符（UUID）字符串，然后对其进行解码并执行。

Unit 42的研究员凯尔·威尔霍伊特表示：“Bookworm以其独特的模块化架构而闻名，它允许通过直接从其命令与控制（C2）服务器加载额外模块来扩展核心功能。这种模块化使静态分析更具挑战性，因为Leader模块依赖其他DLL来提供特定功能。”

“Bookworm的此次部署与适配，与Stately Taurus的其他行动同步进行，这体现了它在该机构工具库中的长期作用。这也表明该团体对其开发和使用有着持续、长期的投入。”