Las vulnerabilidades de seguridad en programas de escritorio remoto como Sunlogin y AweSun están siendo aprovechadas por actores de amenazas para desplegar el malware PlugX.
El Centro de Respuesta a Emergencias de Seguridad de AhnLab (ASEC), en un nuevo análisis, indicó que esto marca el continuo abuso de las vulnerabilidades para entregar una variedad de cargas útiles en sistemas comprometidos.
Esto incluye el marco de post-explotación Sliver, el minero de criptomonedas XMRig, Gh0st RAT y el ransomware Paradise. PlugX es la última incorporación a esta lista.
El malware modular ha sido ampliamente utilizado por actores de amenazas con sede en China, con nuevas características continuamente agregadas para ayudar a realizar el control del sistema y el robo de información.
En los ataques observados por ASEC, la explotación exitosa de las vulnerabilidades es seguida por la ejecución de un comando de PowerShell que recupera un archivo ejecutable y un archivo DLL desde un servidor remoto.
Este archivo ejecutable es un servicio legítimo de servidor HTTP de la empresa de ciberseguridad ESET, que se utiliza para cargar el archivo DLL mediante una técnica llamada carga lateral de DLL y, en última instancia, ejecutar la carga útil PlugX en memoria.
“Los operadores de PlugX utilizan una gran variedad de binarios confiables que son vulnerables a la carga lateral de DLL, incluidos numerosos ejecutables antivirus”, señaló Security Joes en un informe de septiembre de 2022. “Se ha demostrado que esto es efectivo al infectar a las víctimas”.
La puerta trasera también es notable por su capacidad para iniciar servicios arbitrarios, descargar y ejecutar archivos desde una fuente externa, y dejar plugins que pueden recolectar datos y propagarse utilizando el Protocolo de Escritorio Remoto (RDP).
“Se están agregando nuevas características a [PlugX] incluso hasta el día de hoy, ya que continúa viendo un uso constante en ataques”, dijo ASEC. “Cuando se instala la puerta trasera, PlugX, los actores de amenazas pueden obtener control sobre el sistema infectado sin el conocimiento del usuario”.
