Detección de Malware PlugX: Anillo Criminal Bronze President Utiliza RAT Modular Post-Explotación en la Última Ola Criminal
Tabla de contenidos:
Una red criminal respaldada por China llamada Bronze President lanzó una campaña dirigida a funcionarios gubernamentales en Europa, Medio Oriente y Sudamérica aprovechando el malware PlugX – la puerta trasera popular entre las bandas de hackers chinos.
Según los investigadores, el objetivo principal del grupo de amenazas es el espionaje.
Detectar Malware PlugX
SOC Prime ofrece Caza de Amenazas e Inteligencia de Ciberamenazas para operaciones aceleradas de SOC, aprovechando los beneficios de un enfoque impulsado por código para prácticas de seguridad escalables y efectivas. Las siguientes reglas basadas en Sigma lanzadas por los desarrolladores de Threat Bounty de SOC Prime Wirapong Petshagun and Zaw Min Htun (ZETA) ayudan a los profesionales de seguridad a detectar si los sistemas fueron expuestos al malware PlugX:
Las detecciones están disponibles para más de 26 plataformas SIEM, EDR y XDR, alineadas con el marco MITRE ATT&CK® v.10.
Siga los próximos lanzamientos para no perderse nuevos elementos de contenido SOC relacionados con esta campaña. Obtenga acceso instantáneo haciendo clic en el Explore Detections botón.
Análisis de Malware PlugX
El grupo criminal de hackers Bronze President, también conocido como Mustang Panda, HoneyMyte, Red Lich, Temp.Hex., TA416 y RedDelta, utiliza software malicioso de código cerrado y abierto para comprometer entidades en una amplia gama de sectores industriales desde 2018. Entre las herramientas que utilizan los actores de amenaza se encuentran tanto software legítimo como malicioso, como Cobalt Strike, China Chopper, ORat y RCSession.
El modus operandi del grupo sugiere que es tolerado por el gobierno chino o incluso encomendado por él.
En la primavera de 2022, analistas de amenazas de ESET publicaron un informe detallado sobre la campaña de ciberespionaje llevada a cabo por Bronze President. El grupo de amenazas utilizó una de las versiones de PlugX etiquetada como Hodur en ataques en el este y sudeste de Asia, Europa y África, propagándolo en una campaña de spear-phishing.
La campaña más reciente se caracteriza por la introducción de archivos de archivo RAR para distribuir malware. Cuando la víctima abre un archivo RAR armado, se muestra un archivo de acceso directo de Windows (LNK) que parece un documento. Al hacer clic en este “archivo”, se ejecuta el malware. Los ataques fueron documentados en junio y julio de 2022. is characterized by the introduction of RAR archive files to distribute malware. When the victim opens a weaponized RAR file, a Windows shortcut (LNK) file that looks like a document is shown. Clicking on this “file” will execute the malware. The attacks were documented in June and July 2022.
No existe una solución definitiva cuando se trata de amenazas de seguridad modernas. Los profesionales de SOC necesitan las mejores soluciones diseñadas para ayudar a identificar amenazas oportunamente antes de que los atacantes establezcan mecanismos de persistencia, roben datos o inyecten cargas. Para mantenerse por delante de las amenazas emergentes y potenciar sus operaciones de SOC, obtenga una suscripción a Threat Detection Marketplace. El TDM es una tienda integral para todo el contenido de SOC relevante multiplataforma y multiherramienta, adaptado a 25 tecnologías líderes en el mercado de SIEM, EDR y XDR. El contenido se enriquece continuamente con contexto adicional de amenazas, así como se verifica su impacto, eficiencia, falsos positivos y otras consideraciones operativas a través de una serie de auditorías de garantía de calidad.
