黑客在存在漏洞微软Exchange服务器上植入PlugX恶意软件

一个以东南亚为目标的黑客组织利用今年 3 月初曝光的 Microsoft Exchange Server 中的漏洞，在受感染的系统上部署了一个以前未记录的远程访问木马 (RAT) 变体。

Palo Alto Networks 的 Unit 42 威胁情报团队将入侵归因于名为PKPLUG（又名Mustang Panda和 HoneyMyte）的威胁行为者，称他们发现了一个名为 Thor 的模块化 PlugX 恶意软件的新版本，该恶意软件是作为后开发工具提供的到其中一台被破坏的服务器。

早在 2008 年，PlugX是一个功能齐全的第二阶段植入程序，具有文件上传、下载和修改、击键记录、网络摄像头控制和访问远程命令外壳等功能。

“观察到的变种 […] 是独一无二的，因为它包含对其核心源代码的更改：将其商标词‘PLUG’替换为‘THOR’，”Unit 42 研究人员 Mike Harbison 和 Alex Hinchliffe在一份技术报告中指出。周二发表的文章。“最早发现的 THOR 样本来自 2019 年 8 月，它是已知最早的重新命名代码实例。在此变体中观察到了新功能，包括增强的有效载荷传递机制和对受信任二进制文件的滥用。”

微软于 3 月 2 日披露，代号为Hafnium的黑客组织正在利用 Exchange 服务器（统称为 ProxyLogon）中的零日漏洞从选定目标、多个威胁参与者（例如勒索软件组织（DearCry 和 Black Kingdom））窃取敏感数据。和加密挖掘团伙（LemonDuck），也被观察到利用这些缺陷来劫持 Exchange 服务器并安装一个 web shell，以最高权限级别授予代码执行。

根据 Unit 42 的说法，PKPLUG 现在加入了该列表，他们发现攻击者通过利用 BITSAdmin 等合法可执行文件从攻击者控制的 GitHub 中检索看似无害的文件（“Aro.dat”），绕过防病毒检测机制以针对 Microsoft Exchange 服务器存储库。该文件包含加密和压缩的 PlugX 负载，暗示了一种免费提供的高级修复和优化工具，旨在清理和修复 Windows 注册表中的问题。

研究人员表示，PlugX 的最新样本配备了各种插件，这些插件“为攻击者提供了各种能力来监控、更新和与受感染系统交互，以实现他们的目标”。THOR 与 PKPLUG 的链接源于将命令和控制基础设施拼凑在一起，以及在其他最近发现的 PlugX 样本中检测到的恶意行为的重叠。

可以在此处访问与攻击相关的其他危害指标。Unit 42 还提供了一个 Python 脚本，该脚本可以在没有关联的 PlugX 加载程序的情况下解密和解压缩加密的 PlugX 有效负载。