Niedawno w atakach ukierunkowanych zaczęło pojawiać się nowe narzędzie zdalnej administracji o nazwie „PlugX”. Badaczom udało się namierzyć człowieka podejrzewanego o stworzenie tego złośliwego oprogramowania – członka chińskiej grupy hakerskiej NCPH, który jest rzekomo w służbie PLA. Ta grupa została, między innymi, oskarżona o atakowanie ważnych amerykańskich organizacji. Narzędzie PlugX zostało wykryte w atakach ukierunkowanych nie tylko przeciwko organizacjom wojskowym, rządowym i politycznym, ale także przeciwko zwyczajnym firmom. To jest dosyć dziwna sytuacja.

Nie ważne, czy napastnicy zostali przez kogoś wynajęci, czy pracują dla siebie, jeśli mają oni tendencje do wykonywania ataków na „poważne” organizacje, to dlaczego wśród ich celów znalazły się absolutnie „spokojne” firmy? Nie mogliśmy znaleźć żadnego miejsca, w którym omawiane narzędzie (czy raczej zestaw narzędzi lub kompilator) zostało wystawione do użytku, więc nie możemy potwierdzić, że narzędzie PlugX było w jakiś sposób współdzielone przez społeczność cyberprzestępczą lub innych potencjalnych intruzów (aczkolwiek nie możemy mieć pewności, że coś takiego nie miało miejsca). Osobiście wykryliśmy ataki prowadzone przy użyciu tego niesławnego narzędzia przeciwko firmie, która jest daleko od wojska, polityki, strategicznej infrastruktury itd. Przedsiębiorstwo to było przez ponad miesiąc bombardowane przez spear – phishingowe wiadomości e-mail, z załącznikami zawierającymi właśnie PlugX. Pierwsze próbki szkodnika były tego samego typu – zawierały wersję debugowaną z dużą ilością potencjalnych błędów, rejestrowanych w pliku bug.log.

Jednak, kilka dni temu napastnicy wysłali kilka wiadomości e-mail zawierających nową wersję PlugX. Ta wersja różni się od poprzedniej w zakresie rejestrowania aktywności. Autor wirusa usunął prawie wszystkie linie kodu przeznaczone do przetwarzania potencjalnych błędów, które były nagminne w starszej wersji. Poniższy obraz przedstawia wywołanie funkcji logowania w starszej wersji kodu PlugX:

IDA zwraca wykres funkcji logowania: starsza wersja

 

A oto, co pozostało:

IDA zwraca wykres funkcji logowania: nowsza wersja

 

Charakter zmian pokazuje, że tam, gdzie wcześniej autor nie był pewien, czy wykonanie będzie przebiegało bez błędów, teraz już wierzy, że przepływ kodu zadziała skutecznie:

Stary wariant                                                                       Nowy wariant

 

Stary wariant                                                         Nowy wariant

 

Tak więc, wszystkie ciągi znaków w formie "<nazwamodułu>.cpp", odnoszące się do kodu źródłowego modułu, zniknęły z plików binarnych. Usunięty został również tekst odnoszący się do ścieżki projektu:
"d:\work\plug4.0(nvsmart)(sxl)\shellcode\shellcode\XSetting.h".

Część kodu PlugX, widziana w poprzednich próbkach, informowała, że program jest wersją demonstracyjną. Co ciekawe, ten fragment kodu nadal istnieje w nowej wersji. Jednak o niczym to nie świadczy: obecne próbki PlugX wykryte „na wolności” z pewnością nie są wersjami demonstracyjnymi, nawet jeśli kod tak zakłada: są to szkodliwe, w pełni funkcjonalne i bardzo ofensywne narzędzia zdalnej administracji.

Wnioskujemy, że prace nad projektem PlugX wciąż trwają, a postęp w rozwoju szkodnika właśnie osiągnął punkt szczytowy. Choć napastnicy w poprzednich kampaniach ukierunkowanych nie wahali się używać wersji debugowanej, to teraz z pewnością w obiegu jest wersja główna. Ponadto, możemy założyć, że atakujący z powodzeniem infekują ofiary i odpowiednio testują nową wersję swojego narzędzia, aby umożliwić dalszy rozwój projektu. I szczerze powiedziawszy – wolelibyśmy raczej nie oglądać kolejnej wersji PlugX.