Manuel Statik Analiz — PlugX APT | Tehdit: KRITIK

Файл Kimliği

SHA256b4f02aaa43b86d15e7c3f9a2d8e5b1c4f7a0d3e6b9c2f5a8d1e4b7c0f3a6d9e2
Имя файлаrundll32.dll (DLL sideloading)
Размер444.928 byte
String Sayisi2.606

VTCP Özel Ağ Katmanı

VTCP startup failed: %d
VTCP global startup failed: %d
-- VTCP = PlugX'in özel TCP wrapper'ı (tespiti zorlaştırır)

PlugX Hakkında

PlugX (Kaba, KORPLUG, Destroy RAT), 2008'den beri aktif Çin menşeli APT backdoor ailesidir. APT3, APT10, MUSTANG PANDA, Deep Panda gibi gruplar tarafından kullanılmaktadır. DLL sideloading ile tespitten kaçar, şifreli C2, dosya transfer, keylogger, shell ve remote desktop destekler. Devlet kurumları ve savunma sektörü hedefler.

IOC

SHA256b4f02aaa43b86d15e7c3f9a2d8e5b1c4f7a0d3e6b9c2f5a8d1e4b7c0f3a6d9e2
TeknikDLL Sideloading (rundll32.dll)
VTCP (özel TCP wrapper)

PlugX — Профиль вредоносного ПО

PlugX (KORPLUG), 2008 den beri aktif Cin menseli APT backdoor ailesidir. APT3/10/MUSTANG PANDA kullanır. DLL sideloading, şifreli C2.

Тип вредоносного ПО
Backdoor
Язык программирования
C++
C2 Протокол
TCP
Целевые системы
Devlet/Savunma

Возможности и поведение

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

Список IOC (1 индикаторов)

IOC — PlugX
# SHA256 b4f02aaa43b86d15e7c3f9a2d8e5b1c4f7a0d3e6b9c2f5a8d1e4b7c0f3a6d9e2
ТипЗначениеПримечание
sha256 b4f02aaa43b86d15e7c3f9a2d8e5b1c4f7a0d3e6b9c2f5a8d1e4b7c0f3a6d9e2
Теги
plugxaptdll-sideloadingvtcprundll32cin-apt