Pesquisadores neutralizaram um servidor de comando e controle (C2) para uma variante do malware PlugX e observaram, em seis meses, mais de 2,5 milhões de conexões a partir de endereços IP únicos.
Desde o último setembro, o servidor de sinkhole recebeu mais de 90.000 solicitações todos os dias de hosts infectados em mais de 170 países.
Desde setembro de 2023, quando a Sekoia capturou o endereço IP único associado ao C2 específico, registrou mais de 2.495.297 IPs únicos de 170 países interagindo com seu sinkhole.
Essa ação permitiu à firma de segurança analisar o tráfego, mapear infecções, prevenir a exploração maliciosa de clientes e elaborar planos de desinfecção eficazes.
Pesquisadores da empresa de cibersegurança Seqoia gastaram $7 para adquirir o endereço IP 45.142.166[.]112 correspondente a um servidor de C2 para uma variante do malware PlugX que o ator de ameaças já não utilizava.
O endereço IP do C2 foi documentado em um relatório em março de 2023 da Sophos sobre uma nova versão do PlugX que se espalhou para "locais quase do outro lado do mundo um do outro".
O malware já tinha ganhado capacidades de auto-propagação através de dispositivos USB.
Após a Seqoia contactar a empresa de hospedagem e solicitar controle sobre o IP, os pesquisadores obtiveram acesso shell a um servidor usando o IP.
Um servidor web simples foi configurado para imitar o comportamento do servidor C2 original, o que permitiu aos analistas capturar solicitações HTTP de hosts infectados e observar variações no fluxo.
A operação de sinkhole revelou que entre 90.000 e 100.000 sistemas enviavam solicitações diariamente, e em mais de seis meses mais de 2,5 milhões de IPs únicos se conectaram ao servidor de todo o mundo.
Enquanto o worm se espalhou para 170 países, apenas 15 deles representam mais de 80% do total de infecções, com Nigéria, Índia, China, Irã, Indonésia, Reino Unido, Iraque e Estados Unidos no topo da lista.
Os pesquisadores destacam que o PlugX C2 neutralizado não possui identificadores únicos, o que leva a uma contagem não confiável de hosts infectados.
Muitas estações de trabalho comprometidas podem sair pelo mesmo endereço IP devido ao endereçamento IP dinâmico, um sistema infectado pode se conectar com múltiplos endereços IP
muitas conexões são através de serviços de VPN, o que pode tornar o país de origem irrelevante
A Sekoia diz que a vítimologia pode indicar um interesse estratégico do ponto de vista da China, já que a maioria das infecções é vista em países que participam da estratégia global de desenvolvimento de infraestrutura da Iniciativa Cinturão e Rota da China.
No entanto, os pesquisadores observam que, embora essa conclusão seja plausível, "deve ser tomada com cautela, porque após quatro anos de atividades, teve tempo de se espalhar por toda parte."
Enquanto o PlugX foi inicialmente associado a operações patrocinadas pelo estado de origem chinesa, o malware se tornou uma ferramenta comum ao longo dos anos e foi usado por vários atores de ameaças, alguns deles envolvidos em atividades motivadas financeiramente, como ransomware.
A Sekoia formulou duas estratégias para limpar computadores que alcançam seu sinkhole e convocou equipes nacionais de cibersegurança e agências de aplicação da lei a se juntarem ao esforço de desinfecção.
Um método é enviar o comando de auto-deleção suportado pelo PlugX, o que deve removê-lo de computadores sem ações adicionais.
No entanto, mesmo que o malware seja removido do host, ainda há risco de reinfecção porque o malware se espalha através de dispositivos USB, e limpá-los não é possível dessa maneira.
Um método mais complexo envolve desenvolver e implantar um payload personalizado em máquinas infectadas para remover o PlugX tanto do sistema quanto de drives USB infectados conectados a eles.
A firma de cibersegurança ofereceu fornecer às CERTs nacionais as informações necessárias para realizar a "desinfecção soberana" para evitar a complexidade legal de enviar comandos para workstations de outras pessoas.
Independentemente do método, a Sekoia observa que redes isoladas já impactadas pelo PlugX estão fora de alcance, e o mesmo se aplica a drives USB infectados que não estão conectados.
Pesquisadores da Seqoia dizem que o botnet construído com a versão neutralizada do PlugX pode ser considerado como "morto", porque os operadores de malware não estão mais no controle.
No entanto, "qualquer um com capacidades de interceptação" ou capaz de assumir controle do servidor C2 pode revivê-lo para fins maliciosos, enviando comandos arbitrários a um host infectado.
O PlugX tem sido usado desde pelo menos 2008 principalmente em operações de espionagem e acesso remoto por grupos ligados ao Ministério da Segurança do Estado Chinês.
Foi usado por vários grupos de ataque frequentemente visando organizações governamentais, de defesa, tecnológicas e políticas, principalmente na Ásia e depois se expandindo para o Ocidente.
Com o tempo, construtores de PlugX emergiram no espaço público e alguns pesquisadores acreditam que o código-fonte do malware foi vazado por volta de 2015.
Isso e o fato de a ferramenta ter recebido múltiplas atualizações, torna difícil atribuir o PlugX a um ator ou agenda específica.
O malware possui capacidades extensas, incluindo execução de comandos, upload e download de arquivos, registro de teclas digitadas e acesso a informações do sistema.
Uma variante recente do PlugX apresenta um componente wormable, permitindo que ele se espalhe autonomamente infectando dispositivos removíveis, como drives USB, e potencialmente alcançando sistemas isolados.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...