法国当局启动行动,从受感染的系统中删除PlugX恶意软件

阅读量115611

发布时间 : 2024-07-29 15:08:15

x
译文声明

本文是翻译文章,文章原作者 Newsroom,文章来源:The Hacker News

原文地址:https://thehackernews.com/2024/07/french-authorities-launch-operation-to.html

译文仅供参考,具体内容表达以及含义原文为准。

法国司法当局与欧洲刑警组织合作,启动了一项所谓的“消毒行动”,以清除一种名为PlugX的已知恶意软件的受感染主机。

巴黎检察官办公室Parquet de Paris表示,该倡议于7月18日启动,预计将持续“几个月”。

它进一步表示,位于法国,马耳他,葡萄牙,克罗地亚,斯洛伐克和奥地利的大约一百名受害者已经从清理工作中受益。

近三个月前,法国网络安全公司 Sekoia 披露,它于 2023 年 9 月花费 7 美元获取 IP 地址,这是一个与 PlugX 木马相连的命令和控制 (C2) 服务器。它还指出,每天有近 100,000 个唯一的公共 IP 地址向被扣押的域发送 PlugX 请求。

PlugX(又名 Korplug)是一种远程访问木马 (RAT),至少自 2008 年以来被 China-nexus 威胁行为者广泛使用,以及 Gh0st RAT 和 ShadowPad 等其他恶意软件系列。

该恶意软件通常使用 DLL 侧载技术在受感染的主机中启动,允许威胁行为者执行任意命令、上传/下载文件、枚举文件和收集敏感数据。

“这个后门,最初是由赵继斌(又名。WHG),在整个过程中以不同的变体进化,“Sekoia今年4月初说。“PlugX构建器在几个入侵集之间共享,其中大多数归因于与中国国家安全部有联系的幌子公司。”

多年来,它还集成了一个可蠕虫组件,使其能够通过受感染的 USB 驱动器传播,从而有效地绕过气隙网络。

Sekoia设计了一种删除PlugX的解决方案,该公司表示,具有USB分发机制的恶意软件变体带有自删除命令(“0x1005”),以从受感染的工作站中删除自身,尽管目前无法将其从USB设备中删除。

“首先,这种蠕虫具有存在于气隙网络上的能力,这使得这些感染超出了我们的能力范围,”它说。“其次,也许更值得注意的是,PlugX蠕虫可以在没有连接到工作站的情况下长时间存在于受感染的USB设备上。

鉴于从系统中远程擦除恶意软件涉及的法律复杂性,该公司进一步指出,它将决定推迟到国家计算机应急响应小组 (CERT)、执法机构 (LEA) 和网络安全机构。

“根据 Sekoia.io 的报告,法国司法当局启动了消毒行动,以拆除由 PlugX 蠕虫控制的僵尸网络。PlugX影响了全球数百万受害者,“Sekoia告诉The Hacker News。 ”由 Sekoia.io TDR团队开发的消毒解决方案是通过欧洲刑警组织向伙伴国家提出的,目前正在部署。

“我们很高兴与法国(巴黎检察官办公室J3节、警察、宪兵队和ANSSI)和国际(欧洲刑警组织和第三国警察部队)参与的行为者开展富有成效的合作,以采取行动打击长期的恶意网络活动。”

本文翻译自The Hacker News 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66