El malware PlugX utilizado por el actor APT TA416 alineado con China apunta a aliados europeos para paralizar los servicios de refugiados ucranianos

[post-views]
marzo 11, 2022 · 4 min de lectura
El malware PlugX utilizado por el actor APT TA416 alineado con China apunta a aliados europeos para paralizar los servicios de refugiados ucranianos

El grupo APT patrocinado por el estado chino TA416 (también conocido como Mustang Panda/Red Delta) ha estado apuntando a agencias gubernamentales europeas y entidades diplomáticas que brindan servicios a refugiados y migrantes ucranianos que huyen de la agresión rusa. Un análisis detallado muestra que los atacantes principalmente buscan conducir ciberespionaje campañas a largo plazo en lugar de buscar ganancias inmediatas.

La investigación realizada por Proofpoint destaca que los atacantes utilizan web bugs para entregar una variedad de cepas de malware PlugX. La situación se agrava debido a que los actores de TA416 han actualizado recientemente PlugX a una versión de malware más sofisticada cambiando su codificación y añadiendo nuevas capacidades de configuración. Por lo tanto, el contenido de detección antiguo para este malware podría no ser suficiente.

TA416 PlugX Detección

Los profesionales de seguridad pueden encontrar a continuación la última regla de detección basada en Sigma diseñada por Nattatorn Chuensangarun, desarrollador de Threat Bounty de SOC Prime. Esta regla captura las nuevas variantes de PlugX que han sido identificadas recientemente por investigadores como software malicioso más avanzado utilizado por infames actores de phishing chinos para apuntar a aliados europeos

TA416 utiliza web bug para PlugX Objetivos Gobiernos Europeos

Inicie sesión en su cuenta existente o regístrese en la plataforma Detection as Code de SOC Prime para acceder a esta detección en una variedad de los siguientes formatos: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender for Endpoint, FireEye, Carbon Black, LogPoint, Graylog, Regex, Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Qualys, y AWS OpenSearch.

Esta regla de detección aborda técnicas y sub-técnicas de MITRE ATT&CK® como Ejecución de Inicio Automático de Arranque o Inicio de Sesión (T1547) y Ejecución de Usuario: Archivo Malicioso (T1204.002).

Para defender proactivamente su infraestructura, descubra la mayor reserva mundial de contenido de detección en la plataforma Detection as Code de SOC Prime que conecta investigadores en ciberseguridad calificados y desarrolladores de contenido expertos de todo el mundo. ¿Aspira a convertirse en un contribuyente de contenido usted mismo? Únase a nuestro Programa Threat Bounty para enviar su contenido de detección y tener la oportunidad de recibir recompensas recurrentes por su trabajo.

Ver Detecciones Unirse a Threat Bounty

Tácticas de TA416 Análisis

El vector de ciberataque más reciente ha estado en línea con la campaña común adversaria de TA416/Red Delta colectivo APT que han estado practicando desde al menos 2020. Todo comienza con correos electrónicos de phishing que se hacen pasar por organizaciones diplomáticas europeas. El grupo APT TA416 ha utilizado SMTP2Go, un servicio legítimo de marketing por correo electrónico, que les permite alterar el campo del remitente del sobre. Alternativamente, los actores de amenaza TA416 también utilizaron correos electrónicos de diplomáticos comprometidos para entregar cargas maliciosas a funcionarios de la OTAN a finales de febrero de 2022, justo después de que Rusia invadiera Ucrania.

Una URL maliciosa incrustada en un correo electrónico infectado inicia la descarga de un archivo de archivo con un dropper de malware al hacer clic. Este archivo, a su vez, descarga cuatro componentes:

  • Malware PlugX
  • Cargador PlugX
  • Cargador de proceso DLL
  • Archivo señuelo PDF

Los investigadores en ciberseguridad mencionan que actores de amenaza chinos utilizan una variedad de versiones de cargadores iniciales, así como cargas útiles finales y diferentes rutinas de comunicación. Es por eso que podría haber una gran variedad de IOCs, mientras que los TTP correlacionados con TA416 no son muy diferentes de los que han estado utilizando desde 2020, lo que hace que las campañas de TA416 sean más fáciles de detectar.

Para evolucionar las capacidades de detección de amenazas de manera más rápida y eficiente, las organizaciones individuales pueden aprovechar el poder de la defensa cibernética colaborativa y enriquecer su experiencia con las mejores prácticas de la industria. Únase a la plataforma Detection as Code de SOC Prime, la plataforma más grande y avanzada del mundo para la defensa cibernética colaborativa, para mantenerse a la vanguardia de las amenazas emergentes y fortalecer las operaciones SOC.

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Acceder a la Funcionalidad de Uncoder AI a través de API 2 min de lectura Plataforma SOC Prime Acceder a la Funcionalidad de Uncoder AI a través de API by Steven Edwards Buscar en el Mercado de Detección de Amenazas de Uncoder AI 2 min de lectura Plataforma SOC Prime Buscar en el Mercado de Detección de Amenazas de Uncoder AI by Steven Edwards Traducir de Sigma a 48 idiomas 2 min de lectura Plataforma SOC Prime Traducir de Sigma a 48 idiomas by Steven Edwards
Todas las noticias