PlugX-Malware von China-verbundenem APT-Akteur TA416 zielt auf europäische Verbündete ab, um ukrainische Flüchtlingsdienste lahmzulegen
Inhaltsverzeichnis:
Die von China staatlich gesponserte APT-Gruppe TA416 (auch bekannt als Mustang Panda/Red Delta) wurde dabei beobachtet, wie sie europäische Regierungsbehörden und diplomatische Einrichtungen ins Visier nahm, die Dienstleistungen für ukrainische Flüchtlinge und Migranten anbieten, die vor russischer Aggression fliehen. Eine detaillierte Analyse zeigt, dass die Angreifer hauptsächlich darauf abzielen, langfristige Cyber-Spionage Kampagnen durchzuführen, anstatt sofortige Gewinne zu erzielen.
Die von Proofpoint durchgeführte Forschung hebt hervor, dass die Angreifer Web Bugs nutzen, um verschiedene PlugX-Malware-Varianten zu liefern. Die Situation eskaliert, da TA416-Akteure PlugX kürzlich zu einer raffinierteren Malware-Version aufgerüstet haben, indem sie die Kodierung geändert und neue Konfigurationsmöglichkeiten hinzugefügt haben. Daher könnte alter Erkennungsinhalt für diese Malware nicht ausreichen.
TA416 PlugX Erkennung
Sicherheitsexperten finden unten die neueste Sigma-basierte Erkennungsregel, die von SOC Primes Threat Bounty-Entwickler Nattatorn Chuensangarun erstellt wurde. Diese Regel erfasst die neuen PlugX-Varianten, die kürzlich von Forschern als fortschrittlichere böswillige Software identifiziert wurden, die von berüchtigten chinesischen Phishing-Akteuren gegen europäische Verbündete eingesetzt wird.
TA416 nutzt Web Bug, um PlugX auf europäische Regierungen zu richten
Melden Sie sich in Ihrem bestehenden Konto an oder registrieren Sie sich bei SOC Primes Detection as Code-Plattform, um auf diese Erkennung in einer Reihe der folgenden Formate zuzugreifen: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender for Endpoint, FireEye, Carbon Black, LogPoint, Graylog, Regex, Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Qualys und AWS OpenSearch.
Diese Erkennungsregel befasst sich mit MITRE ATT&CK® Techniken und Sub-Techniken, wie Boot oder Logon Autostart Execution (T1547) und User Execution: Malicious File (T1204.002).
Um Ihre Infrastruktur proaktiv zu verteidigen, entdecken Sie den weltweit größten Pool an Erkennungsinhalten auf SOC Primes Detection as Code-Plattform, die qualifizierte Cybersicherheitsforscher und erfahrene Inhaltsentwickler aus der ganzen Welt verbindet. Möchten Sie selbst ein Inhaltsbeitragender werden? Treten Sie unserem Threat Bounty-Programm bei, um Ihre Erkennungsinhalte einzureichen und die Chance zu haben, wiederkehrende Belohnungen für Ihre Arbeit zu erhalten.
Erkennungen ansehen Threat Bounty beitreten
TA416 Taktiken Analyse
Der jüngste Cyberangriffsvektor ist im Einklang mit der gemeinsamen Kampagne des TA416/Red Delta APT-Kollektivs , die sie seit mindestens 2020 praktizieren. Alles beginnt mit Phishing-E-Mails, die sich als europäische diplomatische Organisationen ausgeben. Die TA416 APT-Gruppe hat SMTP2Go verwendet, einen legitimen E-Mail-Marketing-Service, der ihnen ermöglicht, das Absendefeld zu ändern. Alternativ haben TA416-Bedrohungsakteure auch kompromittierte E-Mails von Diplomaten verwendet, um Malware-Payloads an NATO-Beamte Ende Februar 2022 zu übermitteln, unmittelbar nachdem Russland die Ukraine überfallen hatte.
Eine bösartige URL, die in eine infizierte E-Mail eingebettet ist, initiiert beim Klicken den Download einer Archivdatei mit einem Malware-Dropper. Diese Datei wiederum lädt vier Komponenten herunter:
- PlugX-Malware
- PlugX-Loader
- DLL-Prozess-Loader
- PDF-Täuschungsdatei
Cybersicherheitsforscher erwähnen, dass chinesische Bedrohungsakteure verschiedene Versionen von Anfangs-Loadern sowie endgültigen Payloads und unterschiedlichen Kommunikationsroutinen verwenden. Deshalb könnte es eine große Vielfalt an IOCs geben, während die TTPs mit TA416 korreliert sich nicht wesentlich von denen unterscheiden, die sie seit 2020 einsetzen, was TA416-Kampagnen leichter erkennbar macht.
Um die Fähigkeiten zur Bedrohungserkennung schneller und effizienter weiterzuentwickeln, können einzelne Organisationen die Macht der kollaborativen Cyberabwehr nutzen und ihr Fachwissen mit den besten Branchenpraktiken bereichern. Treten Sie SOC Primes Detection as Code-Plattform, der weltweit größten und fortschrittlichsten Plattform für kollaborative Cyberabwehr, bei, um neuen Bedrohungen voraus zu sein und Ihre SOC-Operationen zu stärken.
