Palo Alto Networks: THOR - PlugX-Variante bei Angriffen auf Microsoft Exchange Server entdeckt
28. Juli 2021 - Bei der Überwachung der Microsoft Exchange Server-Angriffe im März 2021 identifizierten die Forscher der "Unit 42" von Palo Alto Networks eine PlugX-Variante, die als Post-Exploitation-Remote-Access-Tool (RAT) an einen der kompromittierten Server ausgeliefert wurde. Die von "Unit 42" beobachtete Variante ist insofern einzigartig, als sie eine Änderung des Kernquellcodes enthält: die Ersetzung des Markenworts "PLUG" durch "THOR". Das früheste entdeckte THOR-Beispiel stammt vom August 2019 und ist die früheste bekannte Instanz des umbenannten Codes. Bei dieser Variante wurden neue Funktionen beobachtet, darunter verbesserte Mechanismen zur Payload-Delivery-Bereitstellung und dem Missbrauch vertrauenswürdiger Binärdateien.
PlugX wurde erstmals 2008 entdeckt und ist ein Implantat der zweiten Stufe, das von der chinesischen Cyberspionagegruppe PKPLUG (alias Mustang Panda) und anderen Gruppen verwendet wird. PlugX wurde im Laufe der Jahre nicht nur bei mehreren hochkarätigen Angriffen eingesetzt, darunter der bedeutende Angriff gegen das "US Government Office of Personnel Management" (OPM) im Jahr 2015, sondern ist auch für seine Modularität und seinen Plug-in-ähnlichen Ansatz bei der Malware-Entwicklung bekannt.
Zusätzliche Suche und weitere Analysen führten zur Identifizierung mehrerer weiterer Proben zusammen mit einer zugehörigen PlugX-Befehls- und Kontrollinfrastruktur (C2). Die Blog-Quelle bietet einen technischen Überblick über die entdeckte PlugX-Variante, Indikatoren zur Kompromittierung (IOCs), um die Varianten in Netzwerken zu identifizieren, und ein von "Unit 42" entwickeltes Tool zur Entschlüsselung von Payload-Daten.
Kunden von Palo Alto Networks sind mit Cortex XDR oder der Next-Generation Firewall mit WildFire- und Threat Prevention-Sicherheitsabonnement vor PlugX geschützt. AutoFocus-Benutzer können die PlugX- und PKPLUG-Aktivität mithilfe der PlugX- bzw. PKPLUG-Tags verfolgen. Eine vollständige Visualisierung der beobachteten Techniken und ihrer relevanten Vorgehensweisen kann im Unit 42 ATOM Viewer angezeigt werden.
Ganzer Artikel - Quelle: Unit42 von Palo Alto Networks:
https://unit42.paloaltonetworks.com/thor-plugx-variant/
Bei Fragen stehen wir von der Omicron AG, Ihrem Palo Alto Networks Platinum Innovator Partner und Authorized Support Center (ASC) in der Schweiz, gerne zur Seite. Wir freuen uns auf Ihre Kontaktaufnahme.