法国司法当局与欧洲刑警组织合作,启动了一项所谓的“消毒行动”,以清除一种名为PlugX的已知恶意软件的受感染主机。
巴黎检察官办公室Parquet de Paris表示,该倡议于7月18日启动,预计将持续“几个月”。
它进一步表示,位于法国,马耳他,葡萄牙,克罗地亚,斯洛伐克和奥地利的大约一百名受害者已经从清理工作中受益。
近三个月前,法国网络安全公司 Sekoia 披露,它于 2023 年 9 月花费 7 美元获取 IP 地址,这是一个与 PlugX 木马相连的命令和控制 (C2) 服务器。它还指出,每天有近 100,000 个唯一的公共 IP 地址向被扣押的域发送 PlugX 请求。
PlugX(又名 Korplug)是一种远程访问木马 (RAT),至少自 2008 年以来被 China-nexus 威胁行为者广泛使用,以及 Gh0st RAT 和 ShadowPad 等其他恶意软件系列。
该恶意软件通常使用 DLL 侧载技术在受感染的主机中启动,允许威胁行为者执行任意命令、上传/下载文件、枚举文件和收集敏感数据。
“这个后门,最初是由赵继斌(又名。WHG),在整个过程中以不同的变体进化,“Sekoia今年4月初说。“PlugX构建器在几个入侵集之间共享,其中大多数归因于与中国国家安全部有联系的幌子公司。”
多年来,它还集成了一个可蠕虫组件,使其能够通过受感染的 USB 驱动器传播,从而有效地绕过气隙网络。
