Detección de Ataques de Earth Preta, también conocido como Mustang Panda: Cuentas Falsas de Google Abusadas en Campañas de Spear-Phishing Dirigidas a Gobiernos de Todo el Mundo
Tabla de contenidos:
El infame grupo APT relacionado con China, Earth Preta (también conocido como Mustang Panda, Bronze President, TA416) ha sido atribuido a una ola de ataques de spear-phishing contra organizaciones globales en múltiples sectores de la industria, incluidas instituciones gubernamentales, principalmente en las regiones del Asia-Pacífico. Investigadores de ciberseguridad han observado que los actores de amenazas abusaron de cuentas falsas de Google para propagar diferentes cepas de malware, incluidos las puertas traseras TONEINS, TONESHELL y PUBLOAD.
Detectar la actividad reciente del adversario Earth Preta, también conocido como Mustang Panda
Actores de amenaza vinculados a China, rastreados como Earth Preta, también conocido como Mustang Panda o Bronze President, han estado en el punto de mira en el ámbito de amenazas cibernéticas desde marzo de 2022, apuntando a organizaciones globales en múltiples sectores industriales y expandiendo continuamente su alcance de ataques y mejorando sus capacidades ofensivas. Para ayudar a las organizaciones a identificar a tiempo posibles intrusiones asociadas con los recientes ataques de spear-phishing por los actores respaldados por China, SOC Prime ha lanzado recientemente un par de reglas Sigma relevantes elaboradas por nuestros perspicaces desarrolladores del programa Threat Bounty Wirapong Petshagun and Kyaw Pyiyt Htet (Mik0yan). Ambas reglas Sigma detectan el uso de la técnica de carga lateral de DLL empleada por los atacantes en campañas de spear-phishing en curso. Las detecciones son compatibles con las soluciones líderes de SIEM, EDR, BDP y XDR de la industria y están mapeadas al último marco MITRE ATT&CK® v12.
Sigue los enlaces a continuación para profundizar instantáneamente en las reglas Sigma dedicadas enriquecidas con metadatos contextuales detallados para una investigación de amenazas más eficiente:
Esta regla Sigma de Wirapong Petshagun aborda la táctica de Evasión de Defensa con el flujo de ejecución secuestrado (T1574) aplicado como técnica principal del ATT&CK.
La detección mencionada anteriormente desarrollada por Kyaw Pyiyt Htet (Mik0yan) aborda las tácticas de Evasión de Defensa y Ejecución con las correspondientes técnicas de flujo de ejecución secuestrado (T1574) y Ejecución del Usuario (T1204).
Los aspirantes a investigadores de amenazas interesados en formas de contribuir a la defensa cibernética colectiva son bienvenidos para unirse a las filas del Programa Threat Bounty iniciativa de colaboración. Escribe código de detección respaldado por Sigma y ATT&CK, comparte tu experiencia con colegas de la industria y gana recompensas por la calidad y rapidez de tu trabajo mientras mejoras constantemente tus habilidades en Ingeniería de Detección.
Las organizaciones progresivas que se esfuerzan por llenar todos los vacíos en su cobertura de detección de amenazas pueden estar interesadas en la lista completa de reglas Sigma para detectar la actividad maliciosa de Earth Preta, también conocido como Mustang Panda APT. Haz clic en el botón Explorar Detecciones a continuación para acceder a reglas Sigma relevantes junto con traducciones a más de 25 tecnologías de seguridad y sumérgete en un contexto completo de amenazas cibernéticas, como referencias de MITRE ATT&CK, enlaces CTI, mitigaciones y más metadatos útiles.
Earth Preta aka Mustang Panda APT: Análisis de Campañas de Spear-Phishing Dirigidas a Gobiernos en Todo el Mundo
Los defensores cibernéticos informan que las redes gubernamentales están potencialmente bajo ataques de malware por parte del notorio colectivo de hackers conocido como Earth Preta (también conocido como Mustang Panda, Bronze President, TA416).
Trend Micro los investigadores de ciberseguridad han observado las campañas en curso del grupo APT respaldado por China utilizando el vector de ataque de spear-phishing. En estos ataques, los hackers de Earth Preta han abusado de cuentas falsas de Google para entregar malware personalizado principalmente dirigido a entidades gubernamentales y otras organizaciones en la región del Asia-Pacífico desde marzo. La cadena de infección se desencadena al descargar y abrir los archivos de archivo distribuidos a través de enlaces de Google Drive. Una vez abiertos, estos archivos señuelo conducen a la ejecución de cepas de malware en los sistemas comprometidos mediante la técnica de adversario de carga lateral de DLL. La campaña maliciosa implica la propagación de familias de malware TONEINS, TONESHELL y PUBLOAD, que, a su vez, pueden desplegar otras cargas útiles mientras permanecen fuera del radar. Después de infiltrarse en los sistemas comprometidos, los datos sensibles robados pueden ser luego aprovechados como el vector de entrada para otras intrusiones, lo que representa un riesgo más serio para las organizaciones potencialmente comprometidas y expande el alcance e impacto de los ataques.
Mustang Panda es un grupo APT de ciberespionaje respaldado por China, que surgió en el ámbito de amenazas cibernéticas en el verano de 2018. El colectivo de hackers es conocido por el desarrollo de sus propios cargadores maliciosos personalizados en conjunto con herramientas de adversario populares como PlugX y Cobalt Strike para comprometer los sistemas objetivo. A finales de marzo de 2022, el grupo utilizó una nueva variante PlugX RAT llamada Hodur dirigida a organizaciones ucranianas y misiones diplomáticas europeas.
Dado que el grupo actualiza constantemente su conjunto de herramientas de adversario, avanza sus capacidades ofensivas y agrega más muestras de malware personalizado a su arsenal para la evasión de detección, los defensores cibernéticos deben estar preparados para detectar proactivamente su actividad maliciosa.
Como medidas de mitigación, se recomienda encarecidamente que las organizaciones sigan las mejores prácticas de seguridad para proteger su infraestructura contra ataques de phishing y habiliten protección de correo electrónico en múltiples capas.
Mantente a la vanguardia de los adversarios con reglas Sigma seleccionadas contra cualquier ataque APT actual o emergente. ¡Más de 900 reglas para herramientas y ataques relacionados con APT están al alcance de la mano! Obtén más de 200 gratis o accede a todo el contenido de detección relevante a demanda en my.socprime.com/pricing.
