Erkennung von Earth Preta alias Mustang Panda-Angriffen: Missbrauchte gefälschte Google-Konten in Spear-Phishing-Kampagnen, die Regierungen weltweit ins Visier nehmen

[post-views]
November 22, 2022 · 4 min zu lesen
Erkennung von Earth Preta alias Mustang Panda-Angriffen: Missbrauchte gefälschte Google-Konten in Spear-Phishing-Kampagnen, die Regierungen weltweit ins Visier nehmen

Die berüchtigte China-verbundene Gruppe Earth Preta (alias Mustang Panda, Bronze President, TA416) APT-Gruppe wird einer Welle von Spear-Phishing-Angriffen gegen globale Organisationen in verschiedenen Branchen, einschließlich Regierungsinstitutionen, hauptsächlich in der Region Asien-Pazifik zugeschrieben. Cybersicherheitsforscher haben beobachtet, dass Bedrohungsakteure gefälschte Google-Konten missbrauchten, um verschiedene Malware-Stämme zu verbreiten, darunter TONEINS, TONESHELL Backdoors und PUBLOAD. 

Erkennung aktueller Bedrohungsaktivitäten von Earth Preta alias Mustang Panda

China-verbundene Bedrohungsakteure, die als Earth Preta alias Mustang Panda oder Bronze President verfolgt werden, stehen seit März 2022 im Rampenlicht der Cyberbedrohungsarena, da sie globale Organisationen in verschiedenen Branchen ins Visier nehmen und kontinuierlich ihren Angriffsbereich erweitern und ihre offensiven Fähigkeiten verbessern. Um Organisationen bei der rechtzeitigen Identifizierung potenzieller Eindringlinge im Zusammenhang mit den jüngsten Spear-Phishing-Angriffen der von China unterstützten Akteure zu unterstützen, hat SOC Prime kürzlich einige relevante Sigma-Regeln veröffentlicht, die von unseren engagierten Threat Bounty-Entwicklern erstellt wurden. Wirapong Petshagun and Kyaw Pyiyt Htet (Mik0yan). Beide Sigma-Regeln erkennen die Anwendung der DLL-Side-Loading-Technik, die von Angreifern in laufenden Spear-Phishing-Kampagnen verwendet wird. Die Erkennungen sind mit den führenden SIEM-, EDR-, BDP- und XDR-Lösungen kompatibel und werden mit dem neuesten MITRE ATT&CK® Framework v12.

Folgen Sie den untenstehenden Links, um sofort auf die dedizierten Sigma-Regeln zuzugreifen, die mit detaillierten kontextuellen Metadaten für eine optimierte Bedrohungsermittlung angereichert sind: 

Mögliche Earth Preta (chinesische APT-Gruppe) Verteidigungsausweichtechnik über DLL-Side-Loading-Technik (via image_load)

Diese Sigma-Regel von Wirapong Petshagun befasst sich mit der Verteidigungsausweichtaktik durch Hijack Execution Flow (T1574), angewendet als primäre ATT&CK-Technik. 

Verdächtige Mustang Panda DLL-Side-Loading-Aktivität (Nov 2022) durch Erkennung assoziierter Dateievents

Die oben genannte Erkennung, entwickelt von Kyaw Pyiyt Htet (Mik0yan), adressiert die Verteidigungsumgehungs- und Ausführungstaktiken mit den entsprechenden Hijack Execution Flow (T1574) und User Execution (T1204) Techniken. 

Ambitionierte Bedrohungsforscher, die nach Möglichkeiten suchen, zur kollektiven Cyberabwehr beizutragen, sind eingeladen, sich den Reihen des Threat Bounty Programms anzuschließen. Schreiben Sie Erkennungscode, der von Sigma und ATT&CK unterstützt wird, teilen Sie Ihr Fachwissen mit Branchenkollegen und erhalten Sie Belohnungen für die Qualität und Schnelligkeit Ihrer Arbeit, während Sie ständig Ihre Fähigkeiten im Bereich Detection Engineering verbessern.

Fortschrittliche Organisationen, die bestrebt sind, alle Lücken in ihrer Bedrohungserkennungsabdeckung zu schließen, könnten am gesamten Katalog der Sigma-Regeln interessiert sein, um die bösartige Aktivität von Earth Preta alias Mustang Panda APT zu erkennen. Klicken Sie auf die Schaltfläche ‚Erkennungen erkunden‘ unten, um relevante Sigma-Regeln zusammen mit Übersetzungen in 25+ Sicherheitstechnologien zu erreichen und in umfassende Cybersicherheitskontexte wie MITRE ATT&CK-Referenzen, CTI-Links, Mitigations und mehr umsetzbare Metadaten einzutauchen.

Erkennungen erkunden

Earth Preta alias Mustang Panda APT: Analyse von Spear-Phishing-Kampagnen gegen Regierungen weltweit

Cyberverteidiger berichten, dass Regierungsnetzwerke möglicherweise unter Malware-Angriffen des berüchtigten Hacking-Kollektivs bekannt als Earth Preta (alias Mustang Panda, Bronze President, TA416) stehen. 

Trend Micro Cybersicherheitsforscher haben die laufenden Kampagnen der von China unterstützten APT-Gruppe beobachtet, die den Spear-Phishing-Angriffsvektor verwendet. In diesen Angriffen haben Earth Preta-Hacker gefälschte Google-Konten missbraucht, um maßgeschneiderte Malware hauptsächlich auf Regierungseinrichtungen und andere Organisationen in der Asien-Pazifik-Region seit März abzuzielen. Die Infektionskette wird durch das Herunterladen und Öffnen von Archivdateien ausgelöst, die über Google Drive-Links verbreitet werden. Sobald sie geöffnet sind, führen diese Köderdateien zur Ausführung von Malware-Stämmen auf den kompromittierten Systemen über die Technik des DLL-Side-Loadings. Die bösartige Kampagne umfasst die Verbreitung der Malware-Familien TONEINS, TONESHELL und PUBLOAD, die wiederum andere Nutzlasten bereitstellen können, während sie unbemerkt bleiben. Nach dem Eindringen in die kompromittierten Systeme können die gestohlenen sensiblen Daten später als Einstiegspunkt für andere Eindringversuche genutzt werden, was ein ernsthafteres Risiko für potenziell kompromittierte Organisationen darstellt und den Umfang und die Auswirkungen der Angriffe erweitert.

Mustang Panda ist eine von China unterstützte Cyber-Spionage-APT-Gruppe, die im Sommer 2018 in der Cyberbedrohungsarena aufgetaucht ist. Das Hacking-Kollektiv ist bekannt für die Entwicklung eigener maßgeschneiderter bösartiger Loader in Verbindung mit populären Bedrohungswerkzeugen wie PlugX und Cobalt Strike um gezielte Systeme zu kompromittieren. Ende März 2022 setzte die Gruppe eine neue PlugX RAT Variante namens Hodur ein, die sich gegen ukrainische Organisationen und europäische diplomatische Missionen richtete.

Da die Gruppe ständig ihr Bedrohungsarsenal aktualisiert, offensive Fähigkeiten verbessert und mehr maßgeschneiderte Malware-Proben zu ihrem Arsenal hinzufügt, um Erkennungen zu umgehen, sollten Cyberverteidiger bereit sein, ihre bösartige Aktivität proaktiv zu erkennen. 

Als Eindämmungsmaßnahmen wird Organisationen dringend empfohlen, die besten Sicherheitspraktiken zu befolgen, um ihre Infrastruktur vor Phishing-Angriffen zu schützen und einen mehrschichtigen E-Mail-Schutz zu aktivieren.

Bleiben Sie Gegnern einen Schritt voraus mit kuratierten Sigma-Regeln gegen alle aktuellen oder neuen APT-Angriffe. Über 900 Regeln für APT-bezogene Werkzeuge und Angriffe sind direkt zur Hand! Erhalten Sie 200+ gratis oder greifen Sie über On-Demand auf alle relevanten Erkennungsinhalte zu unter my.socprime.com/pricing.

 

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Blog, Neueste Bedrohungen — 4 min zu lesen
XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Veronika Telychko
Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten
Blog, Neueste Bedrohungen — 4 min zu lesen
Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten
Veronika Telychko
TorNet Backdoor-Erkennung: Eine laufende Phishing-E-Mail-Kampagne verwendet PureCrypter-Malware, um weitere Nutzlasten abzulegen
Blog, Neueste Bedrohungen — 5 min zu lesen
TorNet Backdoor-Erkennung: Eine laufende Phishing-E-Mail-Kampagne verwendet PureCrypter-Malware, um weitere Nutzlasten abzulegen
Veronika Telychko