Erkennung des MQsTTang-Backdoors: Neue maßgeschneiderte Malware von Mustang Panda APT wird aktiv in der neuesten Kampagne gegen Regierungsbehörden eingesetzt

Neuer Tag, neue bösartige Bedrohung, die Cyber-Verteidiger herausfordert! Kürzlich haben Sicherheitsforscher einen neuartigen Malware-Stamm enthüllt, der aktiv von der Mustang Panda APT in ihrer laufenden Kampagne gegen Ziele in Europa und Asien eingesetzt wird. MQsTTang genannt, wurde der neue maßgeschneiderte Backdoor von Grund auf neu entwickelt, um unerkannt zu bleiben und die Zuordnung zu erschweren, während er Regierungs- und politische Einrichtungen angreift, die von Interesse für die Angreifer sind.

MQsTTang Backdoor Erkennung

Um die bösartige Aktivität in den frühesten Phasen der Entwicklungsangriffe zu erkennen und die organisatorische Infrastruktur proaktiv vor potenziellen MQsTTang-Infektionen zu verteidigen, können Sicherheitsperformer eine Reihe von Sigma-Regeln auf der SOC Prime-Plattform für kollektive Cyber-Abwehr nutzen.

Mögliches MQsTTang Backdoor-Verhalten [mit Korplug Loader] Zuordnung zur Mustang Panda APT Gruppe durch Erkennen zugehöriger DLLs (via file_event)

Die erste Regel, entwickelt von unserem aufmerksamen Threat Bounty Mitglied Aytek Aytemur identifiziert bösartige DLLs, die mit dem MQsTTang-Backdoor in Verbindung stehen. Diese Erkennung kann auf über 20 SIEM-, EDR- und XDR-Plattformen angewendet werden und ist auf den MITRE ATT&CK Rahmen v12 gemappt und adressiert die Taktiken Ausführung und Verteidigungsumgehung, mit Benutzer-Ausführung (T1204) und Prozess-Injektion (T1055) als entsprechende Techniken.

Verdächtiges Verhalten des neuen Mustang Panda Backdoors [MQsTTang] durch Erkennung eines zugehörigen Registrierungsschlüssels (via registry_event)

Die zweite Regel des erfahrenen Threat Bounty Entwicklers Mustafa Gurkan KARAKAYA identifiziert Persistenzaktivitäten des MQsTTang durch das Hinzufügen eines Registrierungsschlüssels. Die Regel ist mit mehr als 15 SIEM-, EDR- und XDR-Lösungen kompatibel und auf MITRE ATT&CK v12 gemappt, adressiert die Strategie der Verteidigungsumgehung mit Modify Registry (T1112) als Haupttechnik.

Möchten Sie Ihre Detektionstechnik-Kenntnisse meistern, während Sie zur Sicherheit der Welt beitragen? Schließen Sie sich den Kräften der crowdsourced Content-Entwicklung über das Threat Bounty Program an, um der globalen Cyber-Verteidiger-Community zu helfen, Angreifern immer einen Schritt voraus zu sein. Erstellen Sie Ihre eigenen Sigma-Regeln, die mit ATT&CK gekennzeichnet sind, lassen Sie sie auf der SOC Prime-Plattform veröffentlichen und verdienen Sie sowohl Geld als auch Anerkennung von Ihren Branchenkollegen.

Drücken Sie den Erkundungen entdecken Button unten, um sofort zur vollständigen Sammlung von Sigma-Regeln zu gelangen, um damit Werkzeuge und Angriffstechniken zu erkennen, die mit dem Mustang Panda APT-Kollektiv in Verbindung stehen. Alle Erkennungsalgorithmen sind mit den entsprechenden ATT&CK-Referenzen, Bedrohungsintelligenz-Links und anderen relevanten Metadaten versehen.

Erkundungen entdecken

MQsTTang Backdoor Analyse

Mustang Panda APT (auch bekannt als TA416, Bronze President) ist ein APT-Kollektiv chinesischen Ursprungs, das bekannt ist für seine PlugX-Malware Familie, die häufig in Daten-Dumping-Operationen eingesetzt wird.

Die neueste Untersuchung von ESET zeigt die Anwesenheit eines neuartigen Backdoors, der seit mindestens Januar 2023 in der bösartigen Arena die Runde macht. Die neue Bedrohung scheint von Grund auf neu entwickelt zu sein, ohne Code-Überlappungen mit älteren Proben, sodass Angreifer bei neuen bösartigen Operationen leicht an Sicherheitsvorkehrungen vorbeischlüpfen können.

Die allererste MQsTTang-Kampagne wurde Anfang 2023 gestartet und ist noch im Gange, wobei Regierungs- und diplomatische Einrichtungen in ganz Europa und Asien ins Visier genommen werden. Die Angriffskette beginnt typischerweise mit einer Phishing-E-Mail, die eine bösartige Nutzlast ablädt. Ausführbare Dateien werden in Form von RAR-Archiven abgeworfen, die als Scans von Pässen von Mitgliedern diplomatischer Missionen, Botschaftsnotizen oder ähnlichen Ködern getarnt sind.

Sobald sie ausgeführt wird, erstellt die Malware eine Kopie von sich selbst mit einem Kommandozeilenargument, das eine Vielzahl von bösartigen Aufgaben ausführt, wie das Starten von Command-and-Control (C2)-Kommunikationen, das Sicherstellen von Persistenz usw.

Bemerkenswert ist, dass MQsTTang auf das MQTT-Protokoll für C2-Kommunikation angewiesen ist. Ein solcher Ansatz sorgt für Resilienz gegen C2-Abschaltungen und tarnt die Infrastruktur der Angreifer, indem alle Kommunikation über einen Broker geleitet wird. Durch die Verwendung von MQTT können Angreifer auch der Erkennung entgehen, da Sicherheitspraktiker dazu neigen, nach häufigeren C2-Protokollen zu suchen, während sie Vorfälle untersuchen.

Bleiben Sie Angreifern mit kuratierten Sigma-Regeln gegen alle aktuellen oder neuen APT-Angriffe voraus. Über 900 Regeln für APT-bezogene Werkzeuge und Angriffe stehen zur Verfügung! Holen Sie sich 200+ kostenlos oder greifen Sie mit On-Demand auf alle relevanten Erkennungsinhalte zu unter my.socprime.com/pricing.