Détecter le cheval de Troie PlugX se faisant passer pour un outil de débogage Windows légitime pour passer inaperçu
Table des matières :
Vieux chien, nouveaux tours ! Les chercheurs en sécurité ont révélé PlugX remote access Trojan (RAT) se faisant passer pour un outil de débogage Windows open-source populaire nommé x65dbg. En s’appuyant sur le chargement latéral de DLL pour cette astuce de spoofing, le RAT malveillant est capable de contourner les contrôles de sécurité et de prendre le contrôle total de l’instance ciblée.
Détection du Cheval de Troie d’accès à distance PlugX
Le cheval de Troie PlugX, qui est activement utilisé dans les cyberattaques depuis plus d’une décennie, principalement populaire parmi les collectifs de hackers chinois, réapparaît dans l’arène des cybermenaces. Les défenseurs préoccupés avertissent les organisations d’une nouvelle variante de PlugX tentant de passer inaperçue en usurpant des applications légitimes. La plateforme Detection as Code de SOC Prime permet aux équipes de sécurité de détecter de façon proactive les menaces actuelles et émergentes de toute ampleur et sophistication, y compris les nouveaux échantillons de malwares. Pour aider les organisations à identifier en temps opportun l’infection par le cheval de Troie PlugX dans leur infrastructure, la plateforme SOC Prime a récemment publié une nouvelle règle Sigma écrite par notre développeur Threat Bounty avisé, Emre Ay:
Cette règle Sigma détecte l’activité du cheval de Troie PlugX liée à l’exécution de malware par la méthode commune de l’adversaire connue sous le nom de rundll32, ce qui permet l’évasion des défenses. La détection peut être appliquée sur plus de 20 plateformes SIEM, EDR et XDR et est mappée au cadre MITRE ATT&CK v12 abordant la tactique d’évasion des défenses avec l’exécution de proxy de binaire système (T1218) comme technique principale.
Les chasseurs de menaces et les ingénieurs de détection qui s’efforcent de contribuer à l’intelligence collective sont invités à rejoindre les rangs des développeurs du Threat Bounty Program. En créant et partageant du contenu de détection avec la communauté de cyber-défenseurs axée sur les pairs, les passionnés de sécurité en herbe peuvent maîtriser leurs compétences Sigma et MITRE ATT&CK, coder leur CV et progresser dans l’ingénierie de détection tout en obtenant des avantages financiers pour leurs contributions.
Cliquez sur le Explore Detections bouton ci-dessous pour accéder instantanément à l’ensemble de la liste des règles Sigma pour la détection du malware PlugX, en lien avec l’attaque cyber actuelle et les campagnes malveillantes précédentes utilisant les échantillons notoires de cheval de Troie. Toutes les règles Sigma sont enrichies avec des renseignements sur les menaces cyber pertinentes pour faciliter l’enquête et fournir un contexte complet sur les attaques et les schémas de comportement des adversaires.
Analyse des Dernières Campagnes du Cheval de Troie PlugX
PlugX (alias Korplug, Hodur, et RedDelta) est apparu pour la première fois sur la scène malveillante vers 2008, étant utilisé par des malfaiteurs comme porte dérobée pour obtenir un contrôle total sur les systèmes ciblés. À l’origine, la famille de malware était utilisée explicitement par les collectifs APT soutenus par la Chine. Cependant, plus tard, de multiples acteurs à travers le monde ont adopté le PlugX RAT pour leurs opérations malveillantes.
Lors des attaques les plus récentes, les hackers ont usurpé la version 32 bits d’un outil de débogage Windows connu sous le nom de x64dbg.exe. PlugX RAT a utilisé une technique malveillante appelée chargement latéral de DLL pour déposer une charge utile après avoir détourné l’application légitime de confiance. Le débogueur x64dbg a été empoisonné avec un x32bridge.dll qui charge le PlugX sous la forme de x32bridge.dat.
Initialement, la version détournée de x64dbg a été révélée par les experts de Unit 42 en janvier 2023, lors de l’analyse de la nouvelle version de PlugX s’appuyant sur les lecteurs USB amovibles pour infecter d’autres machines Windows sur le réseau ciblé. La persistance, dans ce cas, est obtenue via des modifications du Registre Windows et la création de tâches planifiées assurant le fonctionnement continu indépendamment du redémarrage de la machine. Une analyse ultérieure par Trend Micro a repéré l’application de x32bridge.exe pour déposer une porte dérobée aux côtés d’un client shell UDP utilisé pour collecter les informations système.
Il n’existe pas de solution miracle en matière de menaces de sécurité modernes. Avec l’évolution continue des techniques de hacking, les défenseurs cybernétiques ont besoin de solutions fiables pour identifier en temps opportun les menaces avant que les adversaires ne mettent en place des mécanismes de persistance, volent des données ou injectent des charges utiles. Faites confiance à https://socprime.com/ pour surpasser et devancer les acteurs malveillants ayant plus de 10 000 règles Sigma à portée de main.
