Erkennung von Earth Preta APT-Angriffen: China-verbundene APT trifft Asien mit DOPLUGS-Malware, einer neuen PlugX-Variante
Inhaltsverzeichnis:
Die niederträchtige, von China unterstützte Earth Preta APT, auch bekannt als Mustang Panda hat asiatische Länder in der dauerhaften gegnerischen Kampagne ins Visier genommen, die eine fortschrittliche Iteration von PlugX-Malware namens DOPLUGS angewendet hat.
Erkennung von Earth Preta-Angriffen mit DOPLUGS-Malware
Das Jahr 2023 ist geprägt von der eskalierenden Aktivität von APT-Kollektiven, die den Einfluss bestehender geopolitischer Spannungen auf die Cyberdomain widerspiegeln. Dieses Mal berichten Sicherheitsexperten, dass die mit China verbundene Earth Preta APT ihre Aufmerksamkeit neben europäischen Ländern auf die Region Asien-Pazifik richtet. Um potenzielle Eindringlinge in den frühesten Entwicklungsstadien zu erkennen und eskalierenden Angriffen standzuhalten, benötigen Cyber-Verteidiger innovative Lösungen zur Bedrohungserkennung und -jagd.
Die SOC Prime Plattform aggregiert eine Reihe kuratierter Erkennungsalgorithmen, begleitet von fortschrittlichen Cybersecurity-Tools, um die Untersuchung der Bedrohungsermittlung zu optimieren und eine proaktive Cyberverteidigung zu ermöglichen. Klicken Sie auf den Erkennung erkunden -Knopf unten, um die Liste der Sigma-Regeln für die neueste SMUGX-Kampagne von Earth Preta zu erkunden.
Alle Regeln sind mit 28 SIEM-, EDR-, XDR- und Data-Lake-Lösungen kompatibel und sind auf den MITRE ATT&CK-Rahmenwerk v14.1abgebildet. Außerdem sind die Erkennungen mit relevanten Metadaten angereichert, einschließlich Angriffschronik, CTI-Referenzen, Triage-Empfehlungen und mehr.
Darüber hinaus können Sicherheitsfachleute eine verwandte Sigma-Regel unten erkunden, die hilft, das SMUGX-Kampagnenverhalten im Zusammenhang mit zugehörigen Verzeichnissen zu identifizieren.
Um in die TTPs von Earth Preta einzutauchen und den zugehörigen Erkennungsstapel zu erkunden, könnten Sicherheitsfachleute diesen Link für weitere Informationen folgen. Auch mithilfe von diesen Linkkönnten Cyber-Verteidiger nützliche Regeln finden, um PlugX-Angriffe zu identifizieren.
Earth Preta alias Mustang Panda Angriffsanalyse: Übersicht der Kampagne, die DOPLUGS nutzt
Mitte Sommer 2023 deckten Check Point-Forscher eine neue SMUGX-Gegnerkampagne auf, die auf europäische Länder abzielte und mit der Earth Preta (alias Mustang Panda oder Bronze President) bösartigen Aktivität verbunden war.
Trend Micro-Forscher offenbarten weiter eine Phishing-E-Mail, die sich gegen eine taiwanesische Staatsbehörde richtete und eine benutzerdefinierte PlugX-bösartige Variante enthielt, die identisch mit den in den SMUGX-Angriffen gegen Europa verwendeten Malwareproben war. Wie sich herausstellte, umfasste die beharrliche SMUGX-Kampagne nicht nur Europa, sondern auch Taiwan und Vietnam als primäre Ziele sowie China, Japan, Malaysia und andere asiatische Länder.
Die enthüllte Probe der benutzerdefinierten PlugX-Malware, die seit 2022 im Rampenlicht steht, war anders als die gängige PlugX-Variante, auch bekannt als Korplug die ein vollständiges Backdoor-Befehlsmodul nutzte. Die verbesserte PlugX-Iteration wurde DOPLUGS genannt und verwendete einen USB-Wurm, bekannt als KillSomeOne-Modul.
PlugX ist ein berüchtigter RAT, der den offensiven Werkzeugkits mehrerer Hacking-Kollektive, einschließlich Mustang Panda, zugeschrieben wird. Die Gruppe wurde beobachtet, wie sie PlugX als eines ihrer Standardwerkzeuge in Cyberoperationen verwendet. Mustang Panda APT ist seit mindestens 2012 aktiv, obwohl seine Aktivitäten mehr Aufmerksamkeit erlangten und in der Cybersicherheits-Community etwa 2017 bekannt wurden. Neben PlugX nutzt die Gruppe sowohl legitime als auch bösartige Software wie Cobalt Strike, China Chopper, ORat und weitere Werkzeuge. Die Gruppe zielt hauptsächlich auf Einrichtungen in der Asien-Pazifik-Region und Europa ab, insbesondere auf Organisationen des öffentlichen Sektors sowie der Militär-, Finanz- und Technologieindustrie.
In der neuesten, lang anhaltenden Kampagne nutzen Earth Preta-Akteure eine verbesserte PlugX-Variante namens DOPLUGS, ein schädliches Downloader-Design, das darauf ausgelegt ist, die Installation und Ausführung von bösartigen Nutzlasten, einschließlich PlugX-Malware, zu erleichtern. Seit 2018 hat Earth Preta die Backdoor-Befehlssätze innerhalb von PlugX kontinuierlich überarbeitet und mindestens vier Generationen von Malware-Proben durchlaufen. Zum Beispiel setzte Mustang Panda Ende März 2022 eine neuartige Variante des PlugX RAT namens Hodurein, die auf ukrainische Organisationen und diplomatische Missionen in ganz Europa abzielte.
Die neueste DOPLUGS-Iteration verwendet eine neuartige Taktik, indem sie eine legitime Adobe-Anwendung ausnutzt, um Opfer zu ködern, wobei die meisten der Proben laut VirusTotal-Daten aus Vietnam stammen. In dieser Kampagne, die typisch für das gegnerische Verhalten der Gruppe ist, verwendet Earth Preta APT Spear-Phishing-E-Mails für den ersten Zugriff und nutzt Google-Drive-Links mit einem passwortgeschützten Archiv, das dazu bestimmt ist, DOPLUGS-Malware auf den kompromittierten Systemen herunterzuladen.
Da die Gruppe in Europa und Asien weiterhin aktiv ist, ist es wichtig, dass Verteidiger das Bewusstsein erhöhen und wachsam bleiben, um sich gegen Earth Preta-Angriffe jeder Größenordnung und Komplexität zu schützen. Beginnen Sie mit Uncoder IO , um Ihnen beim schnelleren Schreiben von Erkennungscode für aufkommende Bedrohungen zu helfen, diesen automatisch in mehrere SIEM-, EDR- und Data-Lake-Sprachen zu übersetzen und Bedrohungsinformationen sofort in benutzerdefinierte IOC-Abfragen für eine effiziente retrospektive IOC-Jagd zu konvertieren.
