프랑스 사법 당국은 유로폴과 협력하여 PlugX라는 알려진 맬웨어를 감염된 호스트에서 제거하기 위해 소위 “소독 작업”을 시작했습니다.
파리 검찰청 Parquet de Paris는 이 이니셔티브가 7월 18일에 시작되었으며 “몇 달 동안” 계속될 것으로 예상된다고 밝혔습니다.
또한 보고서는 프랑스, 몰타, 포르투갈, 크로아티아, 슬로바키아, 오스트리아에 거주하는 약 100명의 피해자가 이미 정화 활동의 혜택을 받았다고 밝혔습니다.
이 개발은 프랑스 사이버 보안 회사 Sekoia가 2023년 9월에 IP 주소를 얻기 위해 7달러를 들여 PlugX 트로이 목마와 연결된 명령 및 제어(C2) 서버를 싱크홀링했다고 공개한 지 거의 3개월 후에 이루어졌습니다. 또한 거의 100,000개의 고유한 공용 IP 주소가 압수된 도메인으로 매일 PlugX 요청을 보내고 있다고 언급했습니다.
PlugX(일명 Korplug)는 적어도 2008년부터 중국 관련 위협 행위자들이 Gh0st RAT 및 ShadowPad와 같은 다른 맬웨어 계열과 함께 널리 사용해 온 원격 액세스 트로이 목마(RAT)입니다.
이 맬웨어는 일반적으로 DLL 사이드 로딩 기술을 사용하여 손상된 호스트 내에서 실행되어 위협 행위자가 임의의 명령을 실행하고, 파일을 업로드/다운로드하고, 파일을 열거하고, 민감한 데이터를 수집할 수 있습니다.
“이 백도어는 원래 Zhao Jibin(일명 WHG)이 개발했으며, 시간이 지나면서 다양한 변형으로 진화했습니다.” Sekoia가 올해 4월 초에 말했습니다. “PlugX 빌더는 여러 침입 세트에서 공유되었으며, 그 중 대부분은 중국 국가안보부와 연결된 가짜 회사에 기인했습니다.”
수년에 걸쳐, 감염된 USB 드라이브를 통해 전파될 수 있는 웜 구성 요소를 통합하여 효과적으로 공기 간격이 없는 네트워크를 우회했습니다.
PlugX를 삭제하기 위한 솔루션을 고안한 세코이아는 USB 배포 메커니즘을 갖춘 이 맬웨어 변종에는 손상된 워크스테이션에서 자체 삭제 명령(“0x1005”)이 포함되어 있지만 현재로서는 USB 장치 자체에서 이를 제거할 방법이 없다고 밝혔습니다.
“첫째, 이 웜은 에어갭 네트워크에 존재할 수 있는 능력을 가지고 있어서 이러한 감염은 우리의 손이 닿지 않는 곳에 있습니다.”라고 그것은 말했습니다. “둘째, 그리고 아마도 더 주목할 만한 점은 PlugX 웜이 워크스테이션에 연결되지 않고도 장시간 감염된 USB 장치에 상주할 수 있다는 것입니다.”
시스템에서 맬웨어를 원격으로 삭제하는 데는 법적으로 복잡한 문제가 있기 때문에, 해당 회사는 결정을 국가 컴퓨터 비상 대응팀(CERT), 법 집행 기관(LEA) 및 사이버 보안 당국에 미루겠다고 밝혔습니다.
“Sekoia.io의 보고에 따라 프랑스 사법 당국이 PlugX 웜이 제어하는 봇넷을 해체하기 위한 소독 작전을 시작했습니다. PlugX는 전 세계적으로 수백만 명의 피해자에게 영향을 미쳤습니다.” Sekoia가 The Hacker News에 말했습니다. “Sekoia.io TDR 팀이 개발한 소독 솔루션은 Europol을 통해 파트너 국가에 제안되었으며 현재 배포되고 있습니다.”
“우리는 프랑스(파리 검찰청 J3과, 경찰, 헌병대, ANSSI) 및 국제적으로(유로폴과 제3국의 경찰) 관련된 주체들과 장기적인 악의적 사이버 활동에 대해 조치를 취하기 위해 유익한 협력을 한 것을 기쁘게 생각합니다.”
