PlugX-Trojan erkennen, der sich als legitimes Windows-Debugger-Tool tarnt, um unentdeckt zu bleiben
Inhaltsverzeichnis:
Alten Hund, neue Tricks! Sicherheitsforscher haben offenbart PlugX Remote Access Trojaner (RAT) tarnen sich als ein beliebtes Open-Source Windows-Debugger-Tool namens x65dbg. Durch den Einsatz von DLL-Side-Loading für diesen Täuschungstrick kann der bösartige RAT Sicherheitskontrollen umgehen und die volle Kontrolle über die angegriffene Instanz erlangen.
PlugX Remote Access Trojaner Erkennung
Der PlugX Trojaner, der seit über einem Jahrzehnt aktiv in Cyberangriffen eingesetzt wird und besonders bei chinesischen Hacking-Kollektiven beliebt ist, taucht erneut in der Cyber-Bedrohungsszene auf. Besorgte Verteidiger warnen Organisationen vor einer neuen Variante von PlugX, die versucht, durch das Vortäuschen legitimer Apps unbemerkt zu bleiben. SOC Prime’s Detection as Code Plattform ermöglicht es Sicherheitsteams, proaktiv aktuelle und aufkommende Bedrohungen jeder Größenordnung und Komplexität zu erkennen, einschließlich neuer Malware-Beispiele. Um Organisationen zu helfen, die PlugX Trojaner-Infektion in ihrer Infrastruktur rechtzeitig zu identifizieren, hat die SOC Prime Plattform kürzlich eine neue Sigma-Regel veröffentlicht, die von unserem aufmerksamen Threat Bounty-Entwickler Emre Ay:
Mögliche PlugX Trojaner-Aktivität durch Erkennung assoziierter Kommandos (via process_creation)
Diese Sigma-Regel erkennt die PlugX Trojaner-Aktivität im Zusammenhang mit der Malware-Ausführung durch die übliche Gegnermethode, bekannt als rundll32, die die Verteidigung umgeht. Die Erkennung kann über 20+ SIEM-, EDR- und XDR-Plattformen angewendet werden und ist dem MITRE ATT&CK Rahmenwerk v12 zugeordnet und befasst sich mit der Defense Evasion-Taktik mit der System Binary Proxy Execution (T1218) als primäre Technik.
Threat Hunters und Detection Engineers, die zur kollektiven Intelligenz beitragen möchten, sind eingeladen, sich den Reihen der Threat Bounty Program Entwickleranzuschließen. Durch das Erstellen und Teilen von Erkennungsinhalten mit der Peer-getriebenen Cyber-Verteidiger-Community können aufstrebende Sicherheitsbegeisterte ihre Sigma- und MITRE ATT&CK-Fähigkeiten meistern, ihren Lebenslauf codieren und sich im Bereich der Detection Engineering weiterentwickeln, während sie finanzielle Vorteile für ihre Beiträge erhalten.
Klicken Sie auf die Erkennungen erkunden Schaltfläche unten, um sofort zur gesamten Liste der Sigma-Regeln für die Erkennung von PlugX-Malware zu gelangen, die sich sowohl auf den aktuellen Cyberangriff als auch auf frühere bösartige Kampagnen beziehen, bei denen die berüchtigten Trojaner-Beispiele genutzt wurden. Alle Sigma-Regeln sind mit relevanter Cyber-Bedrohungsintelligenz angereichert, um die Untersuchung zu erleichtern und einen umfassenden Kontext der Angriffe und der Verhaltensmuster der Gegner zu bieten.
Analyse der neuesten PlugX Trojaner-Kampagnen
PlugX (auch bekannt als Korplug, Hodur und RedDelta) erschien erstmals um 2008 in der bösartigen Arena und wurde von Übeltätern als Backdoor verwendet, um die volle Kontrolle über die angegriffenen Systeme zu erlangen. Anfangs wurde die Malware-Familie explizit von China-unterstützten APT-Kollektiven genutzt. Später jedoch adoptierte eine Vielzahl von Akteuren weltweit PlugX RAT für ihre bösartigen Operationen.
In den neuesten Angriffen tarnten Hacker die 32-Bit-Version eines Windows-Debugging-Tools, bekannt als x64dbg.exe. PlugX RAT nutzte eine bösartige Technik namens DLL-Side-Loading, um eine Nutzlast fallen zu lassen, nachdem die vertrauenswürdige legitime App gekapert wurde. Der x64dbg-Debugger wurde mit einer x32bridge.dll vergiftet, die den PlugX lädt als x32bridge.dat.
Die ursprünglich gekaperte x64dbg-Version wurde von Unit 42-Experten im Januar 2023 offenbart, während sie die neue PlugX-Version analysierten, die auf entfernbare USB-Laufwerke setzte, um andere Windows-Maschinen im Zielnetzwerk zu infizieren. Die Persistenz wird in diesem Fall durch Windows-Registry-Änderungen und die Erstellung geplanter Aufgaben erreicht, die den kontinuierlichen Betrieb unabhängig vom Neustart des Systems sicherstellen. Weitere by Unit 42 experts in January 2023, while analyzing the new PlugX version relying on removable USB drives to infect other Windows machines on the targeted network. Persistence, in this case, is achieved via Windows Registry modifications and the creation of scheduled tasks ensuring continuous operation regardless of the machine restart. Further Analysen von Trend Micro entdeckten die Anwendung von x32bridge.exe um eine Hintertür zusammen mit einem UDP-Shell-Client fallen zu lassen, der verwendet wird, um Systeminformationen zu sammeln.
Es gibt keine Patentlösung, wenn es um moderne Sicherheitsbedrohungen geht. Mit der ständigen Weiterentwicklung von Hacking-Techniken benötigen Cyber-Verteidiger zuverlässige Lösungen, um Bedrohungen rechtzeitig zu identifizieren, bevor Gegner Persistenzmechanismen einrichten, Daten stehlen oder Schadcodes einschleusen. Vertrauen Sie auf https://socprime.com/ um Bedrohungsakteure zu überlisten und zu übertreffen, mit über 10.000 ständig verfügbaren Sigma-Regeln.
