Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Китайские хакеры заражают системы новым RAT через уязвимости в Microsoft Exchange

29/07/21

RAT3-2Китайская киберпреступная группировка, известная своими атаками на страны Юго-Восточной Азии, эксплуатирует уязвимости ProxyLogon в Microsoft Exchange Server для заражения атакуемых систем ранее неизвестным трояном для удаленного доступа (RAT).

Подразделение Unit 42 ИБ-компании Palo Alto Networks отнесло атаки на счет киберпреступной группировки PKPLUG (другие названия Mustang Panda и HoneyMyte). Специалисты выявили новый вариант модульного вредоносного ПО PlugX под названием Thor, который был доставлен на один из взломанных серверов в качестве постэксплуатационного инструмента.

Впервые появившийся в 2008 году троян PlugX представляет собой полноценный имплант, внедряемый на второй стадии кибератак. Вредонос обладает функциями загрузки и модифицирования файлов, кейлоггинга, управления web-камерой и доступа к удаленной командной оболочке.

По словам экспертов, в исходном коде нового варианта трояна торговый знак PLUG был заменен на THOR. Файл, содержащий зашифрованную и сжатую полезную нагрузку PlugX, ссылается на свободно доступный расширенный инструмент восстановления и оптимизации, предназначенный для очистки и исправления проблем в реестре Windows.

Новый вариант PlugX оснащен большим количеством различных плагинов, позволяющих злоумышленникам осуществлять мониторинг, устанавливать обновления и взаимодействовать со скомпрометированными системами.

Связанные с атаками PlugX дополнительные индикаторы компрометации доступны здесь . Эксперты Unit 42 также выпустили Python-скрипт для дешифровки и разархивирования зашифрованной полезной нагрузки PlugX, не имея связанных загрузчиков PlugX.

Темы:КитайПреступленияRATPalo Alto NetworksMicrosoft Exchange
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

  • Обзор китайского рынка NGFW
    Азиатско-Тихоокеанский регион, где доминирует Китай, стал вторым по величине рынком NGFW в мире и уже в 2023 г. генерировал свыше 30% мирового спроса. При этом глобальный рынок по-прежнему возглавляют западные вендоры, тогда как из китайских компаний в топ-5 присутствует только Huawei с долей около 3,5%. Совокупная доля китайских производителей на мировом рынке остается скромной и оценивается в 5–10%.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...