Detectar el troyano PlugX disfrazándose como una herramienta legítima de depuración de Windows para pasar desapercibido
Tabla de contenidos:
¡Perro viejo, nuevos trucos! Investigadores de seguridad revelaron el troyano de acceso remoto (RAT) PlugX se hace pasar por una popular herramienta de depuración de Windows de código abierto llamada x65dbg. Al confiar en la carga lateral de DLL para este truco de suplantación, el RAT nefasto es capaz de eludir los controles de seguridad y ganar control total sobre la instancia objetivo.
Detección del troyano de acceso remoto PlugX
El troyano PlugX, que ha sido utilizado activamente en ataques cibernéticos durante más de una década, siendo principalmente popular entre colectivos de hackers chinos, resurge en el escenario de amenazas cibernéticas. Defensores preocupados advierten a las organizaciones sobre una nueva variante de PlugX que intenta pasar desapercibida suplantando aplicaciones legítimas. La Plataforma Detection as Code de SOC Prime permite a los equipos de seguridad detectar de manera proactiva amenazas actuales y emergentes de cualquier escala y sofisticación, incluidas muestras de malware novedosas. Para ayudar a las organizaciones a identificar oportunamente la infección del troyano PlugX en su infraestructura, la Plataforma SOC Prime ha lanzado recientemente una nueva regla Sigma escrita por nuestro experimentado desarrollador de Threat Bounty, Emre Ay:
Esta regla Sigma detecta la actividad del troyano PlugX relacionada con la ejecución de malware mediante el método comúnmente adversario conocido como rundll32, que permite la evasión de defensas. La detección se puede aplicar en más de 20 plataformas SIEM, EDR y XDR y está mapeada al marco MITRE ATT&CK v12 abordando la táctica de Evasión de Defensa con la Ejecución de Proxy Binario del Sistema (T1218) como su técnica principal.
Cazadores de amenazas e ingenieros de detección que se esfuercen por contribuir a la inteligencia colectiva son bienvenidos a unirse a las filas de los desarrolladores del Programa Threat Bounty. Creando y compartiendo contenido de detección con la comunidad de defensores cibernéticos impulsada por pares, los entusiastas de la seguridad aspirantes pueden dominar sus habilidades Sigma y MITRE ATT&CK, codificar su CV y avanzar por sí mismos en la ingeniería de detección al tiempo que obtienen beneficios económicos por sus contribuciones.
Haga clic en el Explorar Detecciones botón a continuación para profundizar instantáneamente en la lista completa de reglas Sigma para la detección de malware PlugX relacionadas tanto con el ataque cibernético actual como con campañas maliciosas previas que utilizan las muestras infames de este troyano. Todas las reglas Sigma están enriquecidas con inteligencia relevante sobre amenazas cibernéticas para agilizar la investigación y proporcionar un contexto integral de los ataques y patrones de comportamiento del adversario.
Análisis de las últimas campañas del troyano PlugX
PlugX (también conocido como Korplug, Hodur y RedDelta) apareció por primera vez en el escenario malicioso alrededor de 2008, siendo aprovechado por malhechores como una puerta trasera para obtener control total sobre los sistemas objetivo. Inicialmente, la familia de malware fue utilizada explícitamente por colectivos APT respaldados por China. Sin embargo, más tarde, múltiples actores en todo el mundo adoptaron el RAT PlugX para sus operaciones maliciosas.
En los ataques más recientes, los hackers suplantaron la versión de 32 bits de una herramienta de depuración de Windows conocida como x64dbg.exe. PlugX RAT utilizó una técnica maliciosa llamada carga lateral de DLL para desplegar una carga útil después de secuestrar la aplicación legítima de confianza. El depurador x64dbg ha sido envenenado con un x32bridge.dll que carga el PlugX como x32bridge.dat.
Inicialmente, la versión secuestrada de x64dbg fue revelada por expertos de Unit 42 en enero de 2023, mientras analizaban la nueva versión de PlugX que se basa en unidades USB extraíbles para infectar otras máquinas Windows en la red objetivo. La persistencia, en este caso, se logra mediante modificaciones en el Registro de Windows y la creación de tareas programadas que aseguran la operación continua sin importar el reinicio de la máquina. Un análisis adicional de Trend Micro detectó la aplicación de by Trend Micro spotted the application of x32bridge.exe para desplegar una puerta trasera junto con un cliente de shell UDP utilizado para recolectar información del sistema.
No hay una solución única cuando se trata de amenazas de seguridad modernas. Con la continua evolución de las técnicas de hacking, los defensores cibernéticos requieren soluciones confiables para identificar amenazas a tiempo antes de que los adversarios configuren mecanismos de persistencia, roben datos o inyecten cargas útiles. Confíe en https://socprime.com/ para superar y anticiparse a los actores de amenazas con más de 10K+ reglas Sigma siempre a mano.
