Analizzando un attacco ransomware, l'Unità 42 ha trovato il malware PlugX. Questa variante identifica innanzitutto tutti i dispositivi multimediali rimovibili USB collegati, come unità floppy, thumb o flash, quindi infetta tutti i supporti inseriti. Se viene collegata una chiavetta USB infetta, l'infezione si diffonde immediatamente a tutti i dispositivi USB collegati.
L'Unità 42 di Palo Alto Networks ha rilasciato un'indagine sugli strumenti osservati dal team in risposta a un attacco ransomware da parte del gruppo di hacker Black Basta. Durante l'indagine, Palo Alto Networks ha identificato diversi strumenti di interesse sui computer delle vittime, tra cui: il malware GootLoader, lo strumento di teaming rosso Brute Ratel C4 e un vecchio campione di malware PlugX.
Il malware infetta tutti i supporti USB
Il malware PlugX ha attirato in particolare l'attenzione dell'Unità 42, poiché questa variante infetta tutti i dispositivi multimediali rimovibili USB collegati come unità floppy, thumb o flash, nonché qualsiasi altro sistema a cui il dispositivo USB viene successivamente collegato.
Questo malware PlugX nasconde anche i file degli aggressori in un dispositivo USB utilizzando una nuova tecnica che funziona anche sui più recenti sistemi operativi Windows (SO) al momento della stesura di questo post. Ciò significa che i file dannosi possono essere visualizzati solo su un sistema operativo simile a Unix (*nix) o montando il dispositivo USB in uno strumento forense.
La nuova variante nasconde i file di Office infetti
Inoltre, l'Unità 42 ha scoperto una variante simile di PlugX in VirusTotal con la capacità aggiuntiva di copiare tutti i documenti Adobe PDF e Microsoft Word dall'host infetto alla cartella nascosta del dispositivo USB creata dal malware PlugX. La scoperta di questi campioni mostra che, almeno per alcuni aggressori tecnicamente esperti, PlugX è ancora in evoluzione e che rimane una minaccia attiva.
Il malware PlugX esiste da oltre un decennio ed è stato comunemente associato ai gruppi APT cinesi in passato. Nel corso degli anni, altri gruppi di aggressori hanno adottato e distribuito questo malware, dagli stati-nazione agli attori del ransomware.
risultanze dell'inchiesta
- Questa variante PlugX è wormable e infetta i dispositivi USB in modo tale da nascondersi dal file system di Windows. Un utente non saprebbe che il proprio dispositivo USB è infetto e potrebbe essere utilizzato per l'esfiltrazione di dati dalla rete.
- La variante del malware PlugX utilizzata in questo attacco infetta tutti i dispositivi multimediali rimovibili USB collegati come unità floppy, thumb o flash, nonché qualsiasi sistema aggiuntivo a cui il dispositivo USB viene successivamente collegato.
- L'Unità 42 ha rilevato una variante simile di PlugX in VirusTotal che infetta i dispositivi USB e copia tutti i file Adobe PDF e Microsoft Word dall'host. Queste copie vengono collocate in una cartella nascosta sul dispositivo USB creato dal malware.
- PlugX è un impianto di secondo stadio utilizzato non solo da alcuni gruppi di origine cinese, ma anche da diversi gruppi di criminali informatici. Esiste da oltre un decennio ed è stato osservato in alcuni attacchi informatici di alto profilo, tra cui l'intrusione dell'Office of Personnel Management (OPM) del governo degli Stati Uniti nel 2015.
- Qualsiasi host infettato da questa variante del malware PlugX è costantemente alla ricerca di nuove unità USB rimovibili da infettare. Questo malware PlugX nasconde anche i file degli aggressori in un dispositivo USB utilizzando una nuova tecnica che garantisce che i file dannosi possano essere visualizzati solo su un sistema operativo *nix o montando il dispositivo USB in uno strumento forense. Questa capacità di eludere il rilevamento consente al malware PlugX di diffondersi ulteriormente e potenzialmente di penetrare nelle reti intercettate.
- Il Brute Ratel C4 utilizzato in questo caso è lo stesso payload (impianto) Badger precedentemente segnalato da Trend Micro, che interessa anche il gruppo di ransomware Black Basta.
A proposito di Palo Alto Networks Palo Alto Networks, leader globale nelle soluzioni di sicurezza informatica, sta plasmando il futuro basato sul cloud con tecnologie che trasformano il modo in cui lavorano le persone e le aziende. La nostra missione è essere il partner preferito per la sicurezza informatica e proteggere il nostro stile di vita digitale. Ti aiutiamo ad affrontare le maggiori sfide di sicurezza del mondo con un'innovazione continua che sfrutta le ultime scoperte in termini di intelligenza artificiale, analisi, automazione e orchestrazione. Fornendo una piattaforma integrata e potenziando un ecosistema di partner in crescita, siamo leader nella protezione di decine di migliaia di aziende su cloud, reti e dispositivi mobili. La nostra visione è un mondo in cui ogni giorno è più sicuro di quello precedente.