摘要：思科 Talos 研究人员在本周发表的分析报告中表示：“新变种的功能与RainyDay和Turian后门重叠，包括滥用相同的合法应用程序进行 DLL 侧载、使用 XOR-RC4-RtlDecompressBuffer 算法加密/解密有效载荷以及使用 RC4 密

亚洲多个电信和制造业成为正在进行的黑客活动的目标，该威胁活动传播一种名为PlugX（又名 Korplug 或 SOGU）的已知恶意软件的新变种。

思科 Talos 研究人员在本周发表的分析报告中表示：“新变种的功能与RainyDay和Turian后门重叠，包括滥用相同的合法应用程序进行 DLL 侧载、使用 XOR-RC4-RtlDecompressBuffer 算法加密/解密有效载荷以及使用 RC4 密钥。”

思科 Talos 研究人员指出，PlugX 变种的相关配置与通常的 PlugX 配置格式存在显著差异，而是采用了与RainyDay相同的结构。RainyDay 是一个与Lotus Panda （又名 Naikon APT）有关的后门。卡巴斯基很可能也将其追踪为FoundCore。

PlugX 是一种模块化远程访问木马 (RAT)，被黑客组织广泛使用，但最突出的是Mustang Panda。

另一方面，Turian （又名 Quarian 或 Whitebird）被评估为一个后门，由另一个高级持续性威胁 (APT) 组织BackdoorDiplomacy（又名CloudComputating或 Faking Dragon）专门用于针对中东的网络攻击。

Lotus Panda 和 BackdoorDiplomacy 之间可能存在联系，这增加了这两个集群可能是同一个，或者它们从共同的供应商处获取工具的可能性。

据称，在思科 Talos 发现的一起事件中，Naikon 攻击了哈萨克斯坦的一家电信公司。两个黑客组织都被发现瞄准了南亚国家。

攻击链本质上是滥用与移动弹出应用程序关联的合法可执行文件来侧载恶意 DLL，然后该 DLL 被用于解密并在内存中启动 PlugX、RainyDay 和 Turian 负载。

威胁组织近期策划的攻击波次主要依赖于 PlugX，它使用与 RainyDay 相同的配置结构，并包含一个嵌入式键盘记录器插件。

Talos 表示：“虽然我们无法断定 Naikon 与 BackdoorDiplomacy 之间存在明确联系，但它们之间存在显著的重叠之处，例如目标的选择、加密/解密载荷方法、加密密钥的重用以及使用同一供应商支持的工具。这些相似之处表明，此次攻击活动与一名使用中文的攻击者存在中等可信度的关联。”

此次披露正值Palo Alto Networks Unit 42小组披露Bookworm恶意软件的内部工作原理之际，该恶意软件自2015年以来一直被Mustang Panda攻击者使用，旨在广泛控制受感染系统。这款先进的RAT具备执行任意命令、上传/下载文件、窃取数据以及建立持久访问等功能。

Bookworm 利用看似合法的域名或受感染的基础设施进行 C2 攻击，从而混入正常的网络流量。此外，研究人员还发现该恶意软件的部分变种与TONESHELL存在重叠，后者是自 2022 年底以来与 Mustang Pana 相关的已知后门。

与 PlugX 和 TONESHELL 一样，传播 Bookworm 的攻击链依靠 DLL 侧载来执行有效负载，尽管较新的变体采用了一种技术，即将 shellcode 打包为通用唯一标识符 (UUID) 字符串，然后对其进行解码和执行。

“Bookworm 以其独特的模块化架构而闻名，允许通过直接从其命令与控制 (C2) 服务器加载附加模块来扩展其核心功能。”Unit 42 研究员 Kyle Wilhoit表示。“这种模块化特性使静态分析更具挑战性，因为 Leader 模块依赖其他 DLL 来提供特定功能。”

技术报告：

《RainyDay、Turian 和新的 PlugX 变体如何滥用 DLL 搜索顺序劫持》

《使用 Unit 42 归因框架从书呆子到庄严的金牛座》

《隐秘后门助长科技和法律领域间谍活动》

来源：会杀毒的单反狗