中国黑客在受损的MS Exchange服务器上植入PlugX变体

一个以东南亚为目标的中国网络间谍组织利用今年3月早些时候曝光的微软Exchange服务器中的漏洞，在受损系统上部署了一种以前未记录的远程访问特洛伊木马（RAT）变种。

Palo Alto Networks的第42单元威胁情报团队将入侵归因于一个名为PKPLUG（又名Mustang Panda和HoneyMyte）的威胁参与者，称他们发现了一个名为Thor的模块化PlugX恶意软件的新版本，该软件是作为攻击后工具交付给一个被入侵的服务器的。

早在2008年，PlugX就已经是一款功能齐全的第二阶段植入软件，具有文件上传、下载和修改、按键记录、网络摄像头控制和远程命令外壳访问等功能。

“变种观察到[……]“它的独特之处在于它包含了对其核心源代码的更改：将其商标词‘PLUG’替换为‘THOR’，”42单元研究人员迈克·哈比森（Mike Harbison）和亚历克斯·辛克利夫（Alex Hinchliffe）在周二发表的一篇技术文章中指出。

“发现的最早THOR样本是2019年8月，这是已知最早的重新命名代码实例。在这个变体中发现了新的功能，包括增强的有效载荷传递机制和滥用受信任的二进制文件。”

微软3月2日披露中国黑客—；代号为铪—；利用Exchange server（统称为ProxyLogon）中的零日漏洞，从特定目标、多个威胁参与者（如勒索软件集团（DearCry和Black Kingdom）和加密采矿团伙（LemonDuck））窃取敏感数据，还观察到有人利用这些漏洞劫持Exchange服务器，并安装一个web shell，以最高权限级别授予代码执行。

据42单元的研究人员称，PKPLUG现在也加入了这个名单，他们发现攻击者通过利用BITSAdmin等合法可执行文件从参与者控制的GitHub存储库中检索看似无害的文件（“Aro.dat”），绕过防病毒检测机制，以Microsoft Exchange服务器为目标。

该文件包含加密和压缩的PlugX负载，暗指一个免费提供的高级修复和优化工具，旨在清理和修复Windows注册表中的问题。

研究人员说，PlugX的最新样本配备了多种插件，这些插件“为攻击者提供各种监控、更新和与受损系统交互的能力，以实现其目标”。THOR与PKPLUG的链接源于将命令和控制基础设施拼凑在一起，以及在最近发现的其他PlugX工件中检测到的恶意行为的重叠。

与攻击相关的其他危害指标可在此处访问。第42单元还提供了一个Python脚本，可以在没有相关的PlugX加载程序的情况下对加密的PlugX有效负载进行解密和解包。