FBI 在数月行动中从 4250 台被黑电脑中删除 PlugX 恶意软件

HackerNews 编译，转载请注明出处：

美国司法部（DoJ）周二透露，一项法院授权的行动允许联邦调查局（FBI）作为“数月执法行动”的一部分，从4250多台受感染电脑中删除了PlugX恶意软件。

PlugX（又称Korplug）是一种远程访问木马（RAT），被与中国（PRC）相关的威胁行为者广泛使用，用于信息窃取和远程控制被攻陷的设备。

FBI提交的一份宣誓书指出，已确定的PlugX变种与一个名为Mustang Panda（又称BASIN、Bronze President、Camaro Dragon、Earth Preta、HoneyMyte、RedDelta、Red Lich、Stately Taurus、TA416和Twill Typhoon）的国家支持的黑客组织有关联。

“自2014年以来，Mustang Panda黑客们在一系列针对美国受害者以及欧洲和亚洲政府和企业的活动中，渗透了数千个计算机系统，还攻击了中国异见人士团体，”司法部表示。

该威胁行为者的其他目标还包括中国台湾、中国香港、日本、韩国、蒙古国、印度、缅甸、印度尼西亚、菲律宾、泰国、越南和巴基斯坦。

此次干扰行动是更大规模“消毒”行动的一部分，该行动自2024年7月底开始，旨在清除受感染系统中的PlugX恶意软件。巴黎检察院和网络安全公司Sekoia此前曾分享过此次活动的详细信息。

Sekoia此前详细介绍称，这种特定的PlugX变种会通过连接的USB设备传播到其他系统。该恶意软件一旦安装，就会向攻击者控制的服务器（“45.142.166[.]112”）发出信号，等待进一步指令以从主机收集数据。

2024年4月底，该公司还透露，它仅花费了7美元就瘫痪了与该IP地址相关的服务器，从而得以发出自我删除指令，从受感染的设备中删除恶意软件。

该指令执行了以下步骤：

1. 删除受害电脑上由PlugX恶意软件创建的文件；
2. 删除用于在受害电脑启动时自动运行PlugX应用程序的PlugX注册表项；
3. 创建一个临时脚本文件，以便在停止PlugX应用程序后删除它；
4. 停止PlugX应用程序；
5. 运行临时文件以删除PlugX应用程序、删除PlugX恶意软件在受害电脑上创建的用于存储PlugX文件的目录，以及从受害电脑上删除临时文件。

FBI表示，自我删除指令不会影响美国境内目标设备上的任何合法功能或文件，也不会从它们传输任何其他数据。

上个月，Sekoia表示，作为为10个国家开展PlugX消毒过程而建立的法律框架的一部分，已针对5539个IP地址发出了多达59475个消毒有效载荷。

“这次大规模黑客攻击以及数千台基于Windows的电脑（包括美国许多家庭电脑）长期感染，表明了中国国家支持的黑客肆无忌惮、咄咄逼人，”美国宾夕法尼亚州东区检察官Jacqueline Romero说。

消息来源：The Hacker News, 编译：zhongx； 

本文由 HackerNews.cc 翻译整理，封面来源于网络；  

转载请注明“转自 HackerNews.cc”并附上原文