Détection de l’attaque APT Earth Preta : Une APT liée à la Chine frappe l’Asie avec le malware DOPLUGS, une nouvelle variante de PlugX
Table des matières :
La sinistre entité sponsorisée par la Chine Earth Preta APT, également connue sous le nom de Mustang Panda cible les pays asiatiques dans une campagne d’adversaire de longue haleine, qui a appliqué une itération avancée de malware PlugX surnommée DOPLUGS.
Détecter les attaques Earth Preta utilisant le malware DOPLUGS
L’année 2023 a été marquée par l’activité croissante des collectifs APT, reflétant l’influence des tensions géopolitiques actuelles sur le domaine cyber. Cette fois, les experts en sécurité rapportent que le Earth Preta APT affilié à la Chine tourne son attention vers la région Asie-Pacifique, outre les pays européens. Pour détecter les intrusions potentielles aux premiers stades de développement et résister aux attaques croissantes, les défenseurs cybernétiques nécessitent des solutions innovantes de détection et de chasse aux menaces.
La plateforme SOC Prime agrège un ensemble d’algorithmes de détection soigneusement sélectionnés accompagnés d’outils de cybersécurité avancés pour rationaliser l’investigation de la chasse aux menaces et permettre une défense proactive contre les cyberattaques. Cliquez sur le bouton Explore Detections ci-dessous pour explorer la liste des règles Sigma pour la dernière campagne SMUGX d’Earth Preta.
Toutes les règles sont compatibles avec 28 solutions SIEM, EDR, XDR et Data Lake et sont mappées au cadre MITRE ATT&CK v14.1. De plus, les détections sont enrichies de métadonnées pertinentes, y compris les chronologies des attaques, les références CTI, les recommandations de triage, et plus encore.
De plus, les professionnels de la sécurité pourraient explorer une règle Sigma liée ci-dessous aidant à identifier le comportement de la campagne SMUGX lié aux répertoires associés.
Pour plonger dans les TTPs d’Earth Preta et explorer la pile de détection associée, les professionnels de la sécurité peuvent suivre ce lien pour plus d’informations. De plus, en utilisant ce lien, les défenseurs cybernétiques pourraient trouver des règles utiles pour identifier les attaques PlugX.
Analyse des Attaques Earth Preta alias Mustang Panda : Aperçu de la Campagne exploitant DOPLUGS
À la mi-été 2023, les chercheurs de Check Point ont découvert une nouvelle campagne SMUGX de l’adversaire ciblant les pays européens qui était liée à Earth Preta (alias Mustang Panda ou Bronze President) activité malveillante.
Les chercheurs de Trend Micro ont en outre révélé un e-mail de phishing ciblant un organisme d’État taïwanais et contenant une souche malveillante PlugX personnalisée, qui était identique aux échantillons de malware utilisés dans les attaques SMUGX contre l’Europe. Comme il s’est avéré, la campagne persistante SMUGX n’embrassait pas seulement l’Europe mais aussi Taïwan et le Vietnam étant les principales cibles, avec la Chine, le Japon, la Malaisie et d’autres pays asiatiques.
L’échantillon révélé de malware PlugX personnalisé, qui a été sous les projecteurs depuis 2022, était différent de la variante PlugX commune également connue sous le nom de Korplug qui utilisait un module de commande de porte dérobée complet. L’itération améliorée de PlugX a été appelée DOPLUGS et a utilisé un ver USB connu sous le nom de module KillSomeOne.
PlugX est un RAT notoire attribué aux kits d’outils offensifs de plusieurs collectifs de hacking, dont Mustang Panda. Le groupe a été observé utilisant PlugX comme l’un de ses outils de base dans les opérations cybernétiques. Mustang Panda APT est actif depuis au moins 2012, bien que ses activités aient gagné plus de visibilité et soient devenues publiques dans la communauté de la cybersécurité autour de 2017. En plus de PlugX, le groupe exploite également des logiciels légitimes et malveillants tels que Cobalt Strike, China Chopper, ORat, et plus d’outils. Le groupe cible principalement les entités de la région Asie-Pacifique et de l’Europe, notamment les organisations liées au secteur public, ainsi que les industries verticales militaire, financière et technologique.
Dans la dernière campagne de longue haleine, les acteurs d’Earth Preta profitent d’une variante avancée de PlugX, DOPLUGS, qui est un téléchargeur nuisible conçu pour faciliter l’installation et l’exécution de charges malveillantes, y compris le malware PlugX. Depuis 2018, Earth Preta révise constamment les ensembles de commandes en arrière-plan dans PlugX, ayant subi au moins quatre générations d’échantillons de malware. Par exemple, fin mars 2022, Mustang Panda a déployé une nouvelle variante du PlugX RAT surnommée Hodur, ciblant les organisations ukrainiennes et les missions diplomatiques à travers l’Europe.
La dernière itération de DOPLUGS applique une nouvelle tactique en exploitant une application Adobe légitime pour attirer les victimes, avec la plupart des échantillons provenant du Vietnam selon les données de VirusTotal. Dans cette campagne, typique du comportement adverse du groupe, Earth Preta APT utilise des emails de spear-phishing pour un accès initial et tire parti de liens Google Drive avec une archive protégée par mot de passe conçue pour télécharger le malware DOPLUGS sur les systèmes compromis.
Alors que le groupe continue d’être actif en Europe et en Asie, il est crucial pour les défenseurs d’augmenter la sensibilisation et de rester vigilants pour se protéger contre les attaques Earth Preta de toute taille et sophistication. Commencez avec Uncoder IO pour vous aider à écrire du code de détection pour les menaces émergentes plus rapidement, le traduire dans plusieurs langages SIEM, EDR, et Data Lake de manière automatisée, et convertir instantanément les renseignements sur les menaces en requêtes IOC personnalisées pour une chasse IOC rétrospective simplifiée.
