Исследователи из Sekoia расчехлили один из серверов C2, используемый USB-червем PlugX и мониторили его активность в течение шести месяцев, обнаружив более более 2,5 миллионов обращений с уникальных IP-адресов.

Причем с сентября прошлого года сервер ежедневно получает более 90 000 запросов на наличие команд от зараженных хостов из более чем 170 стран.

На 15 из них пришлось более 80% от общего числа заражений: лидеры - Нигерия, Индия, Китай, Иран, Индонезия, Великобритания, Ирак и США.

За время наблюдения исследователям удалось проанализировать трафик, выявить заражения и предотвратить злонамеренную активность.

Для того, чтобы провернуть столь мощную операцию Sekoia была вынуждена потратиться всего на 7 долларов, которые ушли на приобретение IP-адреса 45.142.166[.]112, соответствующего серверу С2, который к тому времени уже вышел из оборота хакеров.

IP ранее в марте 2023 года упоминался в отчете Sophos в отношении новой версии PlugX. Тогда вредоносная программа уже получила возможность самораспространения через USB-устройства.

После того, как Seqoia перехватила контроль над адресом исследователи получили доступ к оболочке сервера, используя IP.

После чего настроили простой веб-сервер, имитирующий поведение исходного C2 и смогли перехватывать HTTP-запросы от зараженных хостов.

Безусловно, пришлось потрудиться и определиться со стратегиями противодействию угрозе, передав соответствующие инструкции национальным CERT во избежание юридических сложностей с отправкой команд удаленного удаления на зараженные хосты.

Как полагают в Seqoia, ботнет, созданный с использованием скрытой версии PlugX, можно считать мертвым, поскольку операторы вредоносного ПО утратили контроль над ситуацией.

Правда, это не относится к инфицированным изолированным сетям и носителям.

SecAtor

Исследователи из Sekoia расчехлили один из серверов C2, используемый USB-червем PlugX и мониторили его активность в течение шести месяцев, обнаружив более более 2,5 миллионов обращений с уникальных IP-адресов.

Причем с сентября прошлого года сервер ежедневно получает более 90 000 запросов на наличие команд от зараженных хостов из более чем 170 стран.

На 15 из них пришлось более 80% от общего числа заражений: лидеры - Нигерия, Индия, Китай, Иран, Индонезия, Великобритания, Ирак и США.

За время наблюдения исследователям удалось проанализировать трафик, выявить заражения и предотвратить злонамеренную активность.

Для того, чтобы провернуть столь мощную операцию Sekoia была вынуждена потратиться всего на 7 долларов, которые ушли на приобретение IP-адреса 45.142.166[.]112, соответствующего серверу С2, который к тому времени уже вышел из оборота хакеров.

IP ранее в марте 2023 года упоминался в отчете Sophos в отношении новой версии PlugX. Тогда вредоносная программа уже получила возможность самораспространения через USB-устройства.

После того, как Seqoia перехватила контроль над адресом исследователи получили доступ к оболочке сервера, используя IP.

После чего настроили простой веб-сервер, имитирующий поведение исходного C2 и смогли перехватывать HTTP-запросы от зараженных хостов.

Безусловно, пришлось потрудиться и определиться со стратегиями противодействию угрозе, передав соответствующие инструкции национальным CERT во избежание юридических сложностей с отправкой команд удаленного удаления на зараженные хосты.

Как полагают в Seqoia, ботнет, созданный с использованием скрытой версии PlugX, можно считать мертвым, поскольку операторы вредоносного ПО утратили контроль над ситуацией.

Правда, это не относится к инфицированным изолированным сетям и носителям.

Sekoia.io Blog

Unplugging PlugX: Sinkholing the PlugX USB worm botnet

Learn about our process for collecting telemetry data from PlugX worm-infected workstations, as well as how to disinfect them.

hottg.com/true_secator/5683

7.6K viewsApr 26 at 15:00