Manuel Statik Analiz — PlugX APT | Tehdit: KRITIK
Datei Kimliği
| SHA256 | b4f02aaa43b86d15e7c3f9a2d8e5b1c4f7a0d3e6b9c2f5a8d1e4b7c0f3a6d9e2 |
|---|---|
| Dateiname | rundll32.dll (DLL sideloading) |
| Größe | 444.928 byte |
| String Sayisi | 2.606 |
VTCP Özel Ağ Katmanı
VTCP startup failed: %d VTCP global startup failed: %d -- VTCP = PlugX'in özel TCP wrapper'ı (tespiti zorlaştırır)
PlugX Hakkında
PlugX (Kaba, KORPLUG, Destroy RAT), 2008'den beri aktif Çin menşeli APT backdoor ailesidir. APT3, APT10, MUSTANG PANDA, Deep Panda gibi gruplar tarafından kullanılmaktadır. DLL sideloading ile tespitten kaçar, şifreli C2, dosya transfer, keylogger, shell ve remote desktop destekler. Devlet kurumları ve savunma sektörü hedefler.
IOC
| SHA256 | b4f02aaa43b86d15e7c3f9a2d8e5b1c4f7a0d3e6b9c2f5a8d1e4b7c0f3a6d9e2 |
|---|---|
| Teknik | DLL Sideloading (rundll32.dll) |
| Ağ | VTCP (özel TCP wrapper) |
PlugX — Malware-Profil
PlugX (KORPLUG), 2008 den beri aktif Cin menseli APT backdoor ailesidir. APT3/10/MUSTANG PANDA kullanır. DLL sideloading, şifreli C2.
Malware-Typ
Backdoor
Programmiersprache
C++
C2-Protokoll
TCP
Zielsysteme
Devlet/Savunma
Fähigkeiten & Verhalten
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC-Liste (1 Indikatoren)
IOC — PlugX
# SHA256
b4f02aaa43b86d15e7c3f9a2d8e5b1c4f7a0d3e6b9c2f5a8d1e4b7c0f3a6d9e2
| Typ | Wert | Bemerkung |
|---|---|---|
| sha256 | b4f02aaa43b86d15e7c3f9a2d8e5b1c4f7a0d3e6b9c2f5a8d1e4b7c0f3a6d9e2 |