Peneliti AhnLab telah menemukan bahwa pelaku ancaman yang tidak dikenal menggunakan PlugX untuk menargetkan kerentanan Remote Code Execution (RCE) di Oray's Sunlogin dan Aweray's Awesun. Setelah mengeksploitasi kerentanan tersebut, penyerang mengeksekusi perintah PowerShell yang membuat file yang dapat dieksekusi yang sah "esetservice.exe", yang rentan terhadap pemuatan samping DLL (Dynamic Link Library). Penyerang kemudian mengunduh versi berbahaya dari DLL asli “http_dll.dll”, yang digunakan sebagai pemuat malware PlugX. Setelah terinfeksi, penyerang memiliki kendali penuh atas sistem, memungkinkan mereka untuk melakukan aktivitas berbahaya seperti keylogging, mengambil tangkapan layar, dan mengunduh malware tambahan. Para penyerang dari Negeri Tiongkok telah secara aktif menggunakan PlugX dan variannya untuk mengeksploitasi kerentanan pada perangkat target. Pelaku ancaman seperti Shadowpad, Mustang Panda, dan TA416 telah diidentifikasi menggunakan PlugX untuk melakukan aktivitas berbahaya. Untuk mencegah ancaman tersebut, organisasi disarankan untuk secara teratur meninjau dan memperbarui postur keamanan mereka dan memastikan bahwa semua perangkat lunak sudah diperbarui. Para peneliti telah memperingatkan bahwa varian baru PlugX RAT (Remote Access Trojan) juga digunakan oleh penyerang untuk mendistribusikan lebih banyak muatan berbahaya, yang menunjukkan bahwa jenis malware ini akan terus menjadi ancaman signifikan bagi organisasi yang tidak mengambil tindakan keamanan yang diperlukan.
Sumber : https://cyware.com/news/plugx-exploits-flaws-in-remote-control-software-dbccab4a
Sumber : https://cyware.com/news/plugx-exploits-flaws-in-remote-control-software-dbccab4a