Détection des Attaques de Earth Preta alias Mustang Panda : Mauvais Usage de Faux Comptes Google dans des Campagnes de Spear-Phishing Ciblant les Gouvernements à Travers le Monde

La tristement célèbre Earth Preta liée à la Chine (alias Mustang Panda, Bronze President, TA416) groupe APT a été attribué à une vague d’attaques de spear-phishing contre des organisations mondiales dans plusieurs secteurs industriels, y compris les institutions gouvernementales, principalement dans les régions de l’Asie-Pacifique. Les chercheurs en cybersécurité ont observé que les acteurs malveillants abusaient de faux comptes Google pour propager différentes souches de logiciels malveillants, y compris les portes dérobées TONEINS, TONESHELL et PUBLOAD. 

Détecter l’activité récente des adversaires de Earth Preta aka Mustang Panda

Les acteurs de la menace liés à la Chine suivis sous le nom de Earth Preta alias Mustang Panda, ou Bronze President, sont sous les projecteurs dans le domaine de la menace cyber depuis mars 2022. Ils ciblent des organisations mondiales dans plusieurs secteurs industriels et étendent continuellement la portée de leurs attaques tout en améliorant leurs capacités offensives. Pour aider les organisations à identifier rapidement les intrusions potentielles associées aux récentes attaques de spear-phishing par les acteurs soutenus par la Chine, SOC Prime a récemment publié quelques règles Sigma pertinentes conçues par nos développeurs expérimentés en Threat Bounty Wirapong Petshagun and Kyaw Pyiyt Htet (Mik0yan). Les deux règles Sigma détectent l’utilisation de la technique de chargement latéral de DLL utilisée par les attaquants dans les campagnes de spear-phishing en cours. Les détections sont compatibles avec les solutions SIEM, EDR, BDP et XDR leaders du secteur et sont mappées au dernier cadre MITRE ATT&CK® v12.

Suivez les liens ci-dessous pour accéder instantanément aux règles Sigma dédiées enrichies de métadonnées contextuelles approfondies pour une enquête sur les menaces rationalisée :

Possibilité d’évasion de la défense Earth Preta (groupe APT basé en Chine) via la technique de chargement latéral de DLL (via image_load)

Cette règle Sigma de Wirapong Petshagun traite de la tactique Evasion de la défense avec Exécution détournée (T1574) appliquée comme technique principale ATT&CK. 

Activité de chargement latéral de DLL suspecte de Mustang Panda (Nov 2022) Par détection d’événements de fichiers associés

La détection mentionnée ci-dessus développée par Kyaw Pyiyt Htet (Mik0yan) aborde les tactiques d’Evasion de la défense et d’Exécution avec les techniques correspondantes d’Exécution détournée (T1574) et d’Exécution par l’utilisateur (T1204). 

Les chercheurs en menaces ambitieux cherchant des moyens de contribuer à la défense collective contre les cybermenaces sont invités à rejoindre les rangs du Programme Threat Bounty initiative participative. Écrivez du code de détection soutenu par Sigma et ATT&CK, partagez votre expertise avec vos pairs dans l’industrie et recevez une prime pour la qualité et la rapidité de votre travail tout en améliorant constamment vos compétences en ingénierie de détection.

Les organisations progressistes cherchant à combler toutes les lacunes de leur couverture de détection des menaces peuvent être intéressées par la liste complète des règles Sigma pour détecter l’activité malveillante de Earth Preta alias Mustang Panda APT. Cliquez sur le bouton Explorer les détections ci-dessous pour accéder aux règles Sigma pertinentes ainsi qu’aux traductions vers plus de 25 technologies de sécurité et plonger dans un contexte complet de menace cybernétique, comme les références MITRE ATT&CK, les liens CTI, les atténuations et plus de métadonnées exploitables.

Explorer les détections

Earth Preta aka Mustang Panda APT : Analyse des campagnes de spear-phishing ciblant les gouvernements du monde entier

Les défenseurs du cyber rapportent que les réseaux gouvernementaux sont potentiellement sous des attaques de logiciels malveillants par le collectif de hackers notoire connu sous le nom de Earth Preta (alias Mustang Panda, Bronze President, TA416). 

Les chercheurs en cybersécurité de Trend Micro ont observé les campagnes en cours du groupe APT soutenu par la Chine utilisant le vecteur d’attaque de spear-phishing. Dans ces attaques, les hackers de Earth Preta ont abusé de faux comptes Google pour livrer des logiciels malveillants personnalisés ciblant principalement les entités gouvernementales et d’autres organisations dans la région Asie-Pacifique depuis mars. La chaîne d’infection est déclenchée par le téléchargement et l’ouverture des fichiers d’archives diffusés via des liens Google Drive. Une fois ouverts, ces fichiers leurres conduisent à l’exécution de souches de logiciels malveillants sur les systèmes compromis via la technique d’adversaire de chargement latéral de DLL. La campagne malveillante implique la propagation des familles de logiciels malveillants TONEINS, TONESHELL et PUBLOAD, qui, à leur tour, peuvent déployer d’autres charges tout en restant sous le radar. Après avoir infiltré les systèmes compromis, les données sensibles volées peuvent être utilisées ultérieurement comme vecteur d’entrée pour d’autres intrusions, ce qui pose un risque plus grave pour les organisations potentiellement compromises et élargit la portée et l’impact des attaques.

Mustang Panda est un groupe APT d’espionnage cybernétique soutenu par la Chine, qui a émergé sur la scène de la menace cybernétique à l’été 2018. Le collectif de hackers est connu pour le développement de ses propres chargeurs malveillants sur mesure en conjonction avec des outils adverses populaires tels que PlugX et Cobalt Strike pour compromettre les systèmes ciblés. À la fin de mars 2022, le groupe a utilisé une nouvelle variante de PlugX RAT surnommée Hodur ciblant les organisations ukrainiennes et les missions diplomatiques européennes.

Puisque le groupe met régulièrement à jour son arsenal d’adversaires, en améliorant les capacités offensives et en ajoutant plus d’échantillons de logiciels malveillants personnalisés à son arsenal pour échapper à la détection, les défenseurs du cyber devraient être prêts à détecter de manière proactive leur activité malveillante. 

En tant que mesures d’atténuation, il est fortement recommandé aux organisations de suivre les meilleures pratiques de sécurité pour protéger leur infrastructure contre les attaques de phishing et d’activer une protection multi-couches des e-mails.

Restez en avance sur les adversaires avec des règles Sigma sélectionnées contre toute attaque APT actuelle ou émergente. 900+ règles pour les outils et attaques liés aux APT sont à portée de main ! Obtenez-en 200+ gratuitement ou accédez à tout le contenu de détection pertinent avec On-Demand sur my.socprime.com/pricing.