法国当局启动行动,从受感染的系统中删除PlugX恶意软件

admin 2024年7月29日23:49:19评论34 views字数 1125阅读3分45秒阅读模式

法国当局启动行动,从受感染的系统中删除PlugX恶意软件

关键词

恶意软件

法国司法当局与欧洲刑警组织合作,启动了一项所谓的“消毒行动”,以清除一种名为PlugX的已知恶意软件的受感染主机。

巴黎检察官办公室Parquet de Paris表示,该倡议于7月18日启动,预计将持续“几个月”。

它进一步表示,位于法国,马耳他,葡萄牙,克罗地亚,斯洛伐克和奥地利的大约一百名受害者已经从清理工作中受益。

近三个月前,法国网络安全公司 Sekoia 披露,它于 2023 年 9 月花费 7 美元获取 IP 地址,这是一个与 PlugX 木马相连的命令和控制 (C2) 服务器。它还指出,每天有近 100,000 个唯一的公共 IP 地址向被扣押的域发送 PlugX 请求。

PlugX(又名 Korplug)是一种远程访问木马 (RAT),至少自 2008 年以来被 China-nexus 威胁行为者广泛使用,以及 Gh0st RAT 和 ShadowPad 等其他恶意软件系列。

该恶意软件通常使用 DLL 侧载技术在受感染的主机中启动,允许威胁行为者执行任意命令、上传/下载文件、枚举文件和收集敏感数据。

“这个后门,最初是由赵继斌(又名。WHG),在整个过程中以不同的变体进化,“Sekoia今年4月初说。“PlugX构建器在几个入侵集之间共享,其中大多数归因于与中国国家安全部有联系的幌子公司。”

多年来,它还集成了一个可蠕虫组件,使其能够通过受感染的 USB 驱动器传播,从而有效地绕过气隙网络。

Sekoia设计了一种删除PlugX的解决方案,该公司表示,具有USB分发机制的恶意软件变体带有自删除命令(“0x1005”),以从受感染的工作站中删除自身,尽管目前无法将其从USB设备中删除。

“首先,这种蠕虫具有存在于气隙网络上的能力,这使得这些感染超出了我们的能力范围,”它说。“其次,也许更值得注意的是,PlugX蠕虫可以在没有连接到工作站的情况下长时间存在于受感染的USB设备上。

鉴于从系统中远程擦除恶意软件涉及的法律复杂性,该公司进一步指出,它将决定推迟到国家计算机应急响应小组 (CERT)、执法机构 (LEA) 和网络安全机构。

“根据 Sekoia.io 的报告,法国司法当局启动了消毒行动,以拆除由 PlugX 蠕虫控制的僵尸网络。PlugX影响了全球数百万受害者,“Sekoia告诉The Hacker News。”由 Sekoia.io TDR团队开发的消毒解决方案是通过欧洲刑警组织向伙伴国家提出的,目前正在部署。

“我们很高兴与法国(巴黎检察官办公室J3节、警察、宪兵队和ANSSI)和国际(欧洲刑警组织和第三国警察部队)参与的行为者开展富有成效的合作,以采取行动打击长期的恶意网络活动。”

END

原文始发于微信公众号(安全圈):【安全圈】法国当局启动行动,从受感染的系统中删除PlugX恶意软件

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月29日23:49:19
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   法国当局启动行动,从受感染的系统中删除PlugX恶意软件https://cn-sec.com/archives/3012771.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息