PlugX Trojan Disguised as Legitimate Windows Debugger Tool in Latest Attacks
PlugX Trojan ได้ปลอมเป็นเครื่องมือ debugger สำหรับ Windows แบบโอเพ่นซอร์สที่เรียกว่า x64dbg เพื่อที่จะหลีกเลี่ยงการป้องกันความปลอดภัยและเข้าควบคุมระบบของเป้าหมาย นักวิจัยของ Trend Micro ที่ชื่อ Buddy Tancio, Jed Valderama และ Catherine Loveria กล่าวว่า โดยทั่วไปไฟล์นี้จะถูกใช้เพื่อตรวจสอบรหัสใน kernel-mode, user-mode, crash dumps และ CPU registers
วิธีที่ PlugX ใช้คือเทคนิคที่เรียกว่า DLL side-loading ซึ่งถูกใช้เพื่อโหลดไฟล์ DLL ที่เป็นอันตรายจากแอปพลิเคชันซอฟต์แวร์ ซึ่งในกรณีนี้คือเครื่องมือ debugger x64dbg (x32dbg.exe) โดยใช้ประโยชน์จาก search order mechanism ใน Windows เพื่อติดตั้งแอปพลิเคชันเพื่อเรียกใช้งานเพย์โหลดที่เป็นอันตรายลงบนเครื่อง
นอกจากนี้ยังทำให้เครื่องมือรักษาความปลอดภัยบางอย่างเกิดการสับสน จึงทำให้ผู้โจมตีสามารถหลีกเลี่ยงการตรวจจับ เพิ่มระดับสิทธิ์ และข้ามข้อจำกัดการดำเนินการจากไฟล์ได้ จากการวิเคราะห์การโจมตีของ Trend Micro พบว่าการที่ผู้โจมตียังคงใช้ เทคนิค DLL side-loading เนื่องจากใช้ประโยชน์จากการปลอมเป็นแอปพลิเคชันที่ถูกกฎหมายทำให้ผู้ใช้งานตรวจสอบได้ยาก
https://thehackernews.com/2023/02/plugx-trojan-disguised-as-legitimate.html