Detección de ataques APT de Earth Preta: APT vinculado a China ataca Asia con malware DOPLUGS, una nueva variante de PlugX

Tabla de contenidos:
El nefasto grupo APT conocido como Earth Preta respaldado por China, también conocido como Mustang Panda, ha estado apuntando a países asiáticos en la campaña adversaria de larga duración, que aplicó una iteración avanzada de malware PlugX apodado DOPLUGS.
Detectando ataques de Earth Preta utilizando malware DOPLUGS
El año 2023 ha estado marcado por la creciente actividad de colectivos APT que reflejan la influencia de las tensiones geopolíticas existentes en el dominio cibernético. Esta vez, los expertos en seguridad informan que el APT Earth Prera afiliado a China está enfocando su atención en la región Asia-Pacífico, además de los países europeos. Para detectar posibles intrusiones en las etapas iniciales de desarrollo y resistir los ataques crecientes, los defensores cibernéticos requieren soluciones innovadoras de detección y caza de amenazas.
La plataforma SOC Prime agrega un conjunto de algoritmos de detección seleccionados acompañados de herramientas avanzadas de ciberseguridad para optimizar la investigación de caza de amenazas y permitir una defensa cibernética proactiva. Presione el botón Explorar Detecciones a continuación para explorar la lista de reglas Sigma para la última campaña SMUGX de Earth Preta.
Todas las reglas son compatibles con 28 soluciones SIEM, EDR, XDR y Data Lake y están mapeadas al marco MITRE ATT&CK v14.1.Además, las detecciones se enriquecen con metadatos relevantes, incluyendo líneas de tiempo de ataques, referencias CTI, recomendaciones de triaje y más.
Además, los profesionales de la seguridad podrían explorar una regla Sigma relacionada a continuación que ayuda a identificar el comportamiento de la campaña SMUGX relacionado con directorios asociados.
Para profundizar en las TTPs de Earth Preta y explorar el conjunto de detección relacionado, los profesionales de la seguridad podrían seguir este enlace para obtener más información. Además, usando este enlace, los defensores cibernéticos podrían encontrar reglas útiles para identificar ataques de PlugX.
Análisis de Ataques de Earth Preta aka Mustang Panda: Visión general de la campaña que utiliza DOPLUGS
A mediados del verano de 2023, los investigadores de Check Point descubrieron una nueva campaña adversaria SMUGX dirigida a países europeos que estaba vinculada a la actividad maliciosa de Earth Preta (también conocido como Mustang Panda o Bronze President).
Los investigadores de Trend Micro revelaron además un correo electrónico de phishing dirigido a un cuerpo estatal taiwanés que contenía una variante maliciosa personalizada de PlugX, similar a las muestras de malware utilizadas en los ataques SMUGX contra Europa. Resultó que la persistente campaña SMUGX no solo abarcó Europa, sino también Taiwán y Vietnam como los principales objetivos, junto con China, Japón, Malasia y otros países asiáticos.
La muestra revelada del malware personalizado PlugX, que ha estado en el foco desde 2022, era diferente de la variante común de PlugX también conocida como Korplug que utilizaba un módulo completado de comando de puerta trasera. La iteración mejorada de PlugX fue llamada DOPLUGS y empleó un gusano USB conocido como el módulo KillSomeOne.
PlugX es un RAT notorio atribuido a los kits de herramientas ofensivas de múltiples colectivos de hacking, incluido Mustang Panda. Se ha observado al grupo utilizando PlugX como una de sus herramientas habituales en operaciones cibernéticas. El APT Mustang Panda ha estado activo al menos desde 2012, aunque sus actividades ganaron más atención y salieron a la luz en la comunidad de ciberseguridad alrededor de 2017. Además de PlugX, el grupo también aprovecha tanto software legítimo como malicioso, como Cobalt Strike, China Chopper, ORat y más herramientas. El grupo apunta principalmente a entidades en la región Asia-Pacífico y Europa, particularmente a organizaciones relacionadas con el sector público, junto con verticales de la industria militar, financiera y tecnológica.
En la última campaña de larga duración, los actores de Earth Preta aprovechan una variante avanzada de PlugX llamada DOPLUGS, que es un descargador dañino diseñado para facilitar la instalación y ejecución de cargas maliciosas, incluido el malware PlugX. Desde 2018, Earth Preta ha revisado constantemente los conjuntos de comandos de puertas traseras dentro de PlugX, pasando por al menos cuatro generaciones de muestras de malware. Por ejemplo, a finales de marzo de 2022, Mustang Panda desplegó una nueva variante del RAT PlugX llamado Hodur, apuntando a organizaciones ucranianas y misiones diplomáticas en toda Europa.
La última iteración de DOPLUGS aplica una táctica novedosa al explotar una aplicación legítima de Adobe para atraer a las víctimas, con la mayoría de las muestras provenientes de Vietnam según los datos de VirusTotal. En esta campaña, típica del comportamiento adversario del grupo, Earth Preta APT emplea correos electrónicos de spear-phishing para el acceso inicial y aprovecha los enlaces de Google Drive con un archivo comprimido con contraseña que está diseñado para descargar el malware DOPLUGS en los sistemas comprometidos.
A medida que el grupo continúa activo en Europa y Asia, es crucial para los defensores aumentar la conciencia y mantenerse vigilantes para protegerse contra los ataques de Earth Preta de cualquier escala y sofisticación. Comience con Uncoder IO para ayudarle a escribir código de detección para amenazas emergentes más rápido, traducirlo a múltiples lenguajes de SIEM, EDR y Data Lake de manera automatizada, y convertir instantáneamente la inteligencia de amenazas en consultas personalizadas de IOC para una búsqueda retrospectiva de IOC optimizada.