ABD Adalet Bakanlığı bugün FBI'ın ABD Plugx kötü amaçlı yazılımlarını ABD'deki ağlarda 4.200'den fazla bilgisayardan sildiğini duyurdu.
Çin Siber Casusluk Grubu Mustang Panda (Twill Typhoon olarak da izlenen) tarafından kontrol edilen kötü amaçlı yazılım, USB flash sürücüler aracılığıyla yayılmasına izin veren solucan bir bileşene sahip bir PLAGX varyantı kullanılarak binlerce sistemi enfekte etti.
Mahkeme belgelerine göre, bu kötü amaçlı yazılım kullanmayı hedefleyen mağdurların listesi, "2024'te Avrupa nakliye şirketleri, 2021'den 2023'e kadar çeşitli Avrupa hükümetleri, dünya çapında Çin muhalif grupları ve Hint-Pasifik'teki hükümetleri içeriyor (örn. Tayvan, Hong Kong, Japonya , Güney Kore, Moğolistan, Hindistan, Myanmar, Endonezya, Filipinler, Tayland, Vietnam ve Pakistan). "
"Mağdur bilgisayara enfekte olduktan sonra, kötü amaçlı yazılım makinede kalır (kalıcılığı korur), kısmen bilgisayar başlatıldığında Plugx uygulamasını otomatik olarak çalıştıran kayıt defteri anahtarları oluşturarak." "Plugx kötü amaçlı yazılımlarla enfekte olan bilgisayar sahipleri genellikle enfeksiyondan habersizdir."
Bu mahkeme yetkili eylem, Fransız kolluk kuvvetleri ve siber güvenlik şirketi Sekoia liderliğindeki küresel bir yayından kaldırma operasyonunun bir parçasıdır. Operasyon, Fransız polisi ve Europol'un uzak erişim Truva kötü amaçlı yazılımlarını Fransa'daki enfekte cihazlardan uzaklaştırdığı Temmuz 2024'te başladı.
Adalet Bakanlığı bugün, "Ağustos 2024'te Adalet Bakanlığı ve FBI, Pennsylvania'nın Doğu Bölgesi'nde ABD merkezli bilgisayarlardan PLAGX'in silinmesine izin veren dokuz varantın ilkini aldı." Dedi.
"Bu varantların sonuncusu 3 Ocak 2025'te süresi doldu ve böylece operasyonun ABD bölümlerini sonuçlandırdı. Toplamda, bu mahkeme yetkili operasyon, yaklaşık 4.258 ABD merkezli bilgisayar ve ağdan Plugx kötü amaçlı yazılımları sildi."
FBI tarafından enfekte bilgisayarlara gönderilen komut, PLAGX kötü amaçlı yazılımını söyledi:
FBI şimdi, internet servis sağlayıcıları aracılığıyla Plugx enfeksiyonundan temizlenen ABD tabanlı bilgisayar sahiplerini bilgilendiriyor ve eylemin dezenfekte edilmiş cihazlardan bilgi toplamadığını veya herhangi bir şekilde etkilemediğini söylüyor.
Siber güvenlik firması Sekoia daha önce Nisan 2024'te 45.142.166'da komut ve kontrol (C2) sunucusunun kontrolünü ele geçirerek aynı PLUGX varyantı ile enfekte bir botnet keşfetti. Sunucu, günlük olarak enfekte olan ana bilgisayarlardan 100.000'e kadar ping aldı ve 170 ülkeden 2.500.000 benzersiz bağlantıya sahipti.
Plugx, en az 2008'den beri, esas olarak siber casusluk ve Çin Devlet Güvenliği Bakanlığı'na bağlı gruplara göre uzaktan erişim operasyonlarında kullanılmaktadır. Birden fazla tehdit grubu bunu öncelikle Asya'da olmak ve daha sonra dünyanın geri kalanına genişleyen hükümeti, savunma, teknolojiyi ve siyasi örgütleri hedeflemek için kullanmıştır.
Bazı Plugx Builders da çevrimiçi olarak tespit edildi ve bazı güvenlik araştırmacıları, kötü amaçlı yazılım kodunun 2015 civarında sızdığına inanıyor. Bu, aracın çoklu güncellemeleriyle birleştiğinde, kötü amaçlı yazılımların gelişimini ve kullanımı belirli bir tehdit aktörüne veya saldırılarda kullanmayı çok zorlaştırıyor. gündem.
Plugx kötü amaçlı yazılım, sistem bilgilerini toplamak, dosya yükleme ve indirme, tuş vuruşlarını kaydetme ve komutları yürütme gibi kapsamlı özelliklere sahiptir.
FBI Spots Hiatusrat kötü amaçlı yazılım saldırıları Web kameralarını hedefleyen, DVRS
Hazine bilgisayar korsanları da ABD Yabancı Yatırım Gözden Geçirme Ofisi'ni ihlal etti
Ivanti Zero-Gün Saldırıları Enfekte Cihazlar Özel Kötü Yazılımlarla
ABD Hazine Hack Silk Typhoon Çin Devlet Hacker'larına bağlı
Cisa, son hükümet hackinin ABD Hazinesi ile sınırlı olduğunu söylüyor
Kaynak: Bleeping Computer