PlugX-Malware-Erkennung: Bronze President Verbrecherbande nutzt post-exploitation Modular RAT in der neuesten Krimiserie
Inhaltsverzeichnis:
Eine von China unterstützte Verbrecherbande namens Bronze President hat eine Kampagne gestartet, die Regierungsbeamte in Europa, dem Nahen Osten und Südamerika mit PlugX-Malware – der Hintertür, die unter chinesischen Hacker-Gruppen beliebt ist.
Laut den Forschern ist das Hauptziel der Bedrohungsgruppe Spionage.
PlugX-Malware erkennen
SOC Prime bietet Bedrohungssuche & Cyber Threat Intelligence für beschleunigte SOC-Operationen, wobei der Nutzen eines codegesteuerten Ansatzes für skalierbare und effektive Sicherheitspraktiken genutzt wird. Die folgenden auf Sigma basierenden Regeln, die von SOC Primes Threat Bounty Entwicklern veröffentlicht wurden, Wirapong Petshagun and Zaw Min Htun (ZETA) helfen Sicherheitsexperten festzustellen, ob die Systeme PlugX-Malware ausgesetzt waren:
Mögliche Ausführung des PlugX RAT Loaders durch Erkennung der geladenen DLL-Datei (via image_load)
Die Erkennungen sind für 26+ SIEM-, EDR- & XDR-Plattformen verfügbar und auf das MITRE ATT&CK®-Framework v.10 abgestimmt.
Folgen Sie den kommenden Veröffentlichungen, um keine neuen SOC-Inhalte zu dieser Kampagne zu verpassen. Erhalten Sie sofortigen Zugang, indem Sie auf die Detektionen erkunden Schaltfläche klicken.
PlugX-Malware-Analyse
Die kriminelle Hackergruppe Bronze President, auch bekannt als Mustang Panda, HoneyMyte, Red Lich, Temp.Hex., TA416 und RedDelta, verwendet seit 2018 geschlossene und quelloffene bösartige Software, um Organisationen in einer Vielzahl von Industriesektoren zu kompromittieren. Zu den Werkzeugen, die die Bedrohungsakteure einsetzen, gehören sowohl legitime als auch bösartige Software wie Cobalt Strike, China Chopper, ORat und RCSession.
Das Modus operandi des Clusters legt nahe, dass es entweder nur von der chinesischen Regierung toleriert oder sogar von ihr beauftragt wird.
Im Frühjahr 2022 veröffentlichten Bedrohungsanalysten von ESET einen detaillierten Bericht über die Cyber-Spionage-Kampagne, die von Bronze President durchgeführt wurde. Die Bedrohungsgruppe nutzte eine der PlugX-Versionen mit der Bezeichnung Hodur bei Angriffen in Ost- und Südostasien, Europa und Afrika, indem sie sie in einer Spear-Phishing-Kampagne verbreitete.
Die jüngste Kampagne zeichnet sich durch die Einführung von RAR-Archivdateien zur Verbreitung von Malware aus. Wenn das Opfer eine präparierte RAR-Datei öffnet, wird eine Windows-Verknüpfungsdatei (LNK), die wie ein Dokument aussieht, angezeigt. Das Klicken auf diese „Datei“ führt zur Ausführung der Malware. Die Angriffe wurden im Juni und Juli 2022 dokumentiert.
Es gibt keine Wunderwaffe gegen moderne Sicherheitsbedrohungen. SOC-Profis benötigen erstklassige Lösungen, die dazu entwickelt wurden, Bedrohungen rechtzeitig zu identifizieren, bevor Angreifer Persistenzmechanismen einrichten, Daten stehlen oder Schadsoftware einschleusen. Um aufkommenden Bedrohungen einen Schritt voraus zu sein und Ihre SOC-Operationen zu stärken, abonnieren Sie das Threat Detection Marketplace. Der TDM ist ein One-Stop-Shop für alle relevanten, herstellerübergreifenden und werkzeugübergreifenden SOC-Inhalte, die auf 25 marktführende SIEM-, EDR- und XDR-Technologien zugeschnitten sind. Der Inhalt wird kontinuierlich mit zusätzlichem Bedrohungskontext angereichert und durch eine Reihe von Qualitätssicherungsprüfungen auf Wirkung, Effizienz, Fehlalarme und andere betriebliche Erwägungen überprüft.
