一个越境的PlugX USB蠕虫在路上展开了它的活动

全球性的PlugX USB蠕虫新变种疫情

文章重点

现在出现了PlugX USB蠕虫的新变种，并在全球各地出现局部爆发。新变种的特点包括新的有效载荷及与之前仅有微弱关联的C2伺服器的回调。此蠕虫使用DLL侧载进行扩散，并以多种方式隐藏其恶意内容。纽约的Sophos提供了有关其行为和感染的详细记录，分析该蠕虫的工作方式。

近期，我们的研究人员在全球一个接一个的地点观察到了PlugX USB蠕虫的新变种，这些地方相距将近一半的地球。这种新变种最早在2022年8月于巴布亚新几内亚引起注意，并在2023年1月同时出现在该国和位于1万英里外的加纳。此外，蒙古、津巴布韦和尼日利亚也出现了额外的感染案例。这个变种的新特征包括一个新的有效载荷和回调到一个以前被认为与这个蠕虫仅有微弱关联的C2伺服器。

图1：新PlugX变种的感染分布具有异常性，依赖DLL侧载来扩散

一切旧的不断重现

PlugX是一种相当常见的中国源后门恶意软件远程访问木马，RAT，它依赖DLL侧载来进行其活动。我们在Sophos已经写过许多关于PlugX的文章，最近的更新是在2022年11月。即使是USB感知版本，也能通过USB扩散，并能从隔离网络中获取信息，这些技术在防御者的警报中也已经存在好几年。然而，最近几个月出现的新变种已经在许多不同的地点定期出现。

加速器每天免费一小时

我们首次注意到这种新变种的过程是通过一个CryptoGuard警报，该警报可能是由数据外泄触发的我们已将此事件的所有IoC放在我们的GitHub上。这次感染由一个可疑的有效可执行文件AvastSvcexe构成，非常容易受到DLL侧载的影响；以及多个被侧载到清洁加载程序中的恶意DLLwscdll和一个加密的dat有效载荷，并在名为RECYCLERBIN的目录下有一组被窃取的、加密的文件，其名称使用base64进行了混淆：

减少措施CryptoGuard V5路径CProgramDataAvastSvcpCPAvastSvcexe干净的Avast应用哈希85ca20eeec3400c68a62639a01928a5dab824d2eadf589e5cbfe5a2bc41d9654

在此事件的详细行为记录中，我们注意到以下信息：

命令行哈希RECYCLERBIN1CEFHelperexe 142 60SHA1 049813b955db1dd90952657ae2bd34250153563eSHA256 85ca20eeec3400c68a62639a01928a5dab824d2eadf589e5cbfe5a2bc41d9654

“CEFHelper”是Adobe进程的名称，但这不是该文件的真正用途。将此SHA256哈希与我们前面代码片段中的哈希进行比较可以知道，它们实际上是同一个文件，只是被恶意软体重新命名。当该文件执行时，AvastSvc可执行档恢复到可见状态：

textcommandLine CProgramDataAvast