Détection de Porte Dérobée MQsTTang : Nouveau Malware Personnalisé par Mustang Panda APT Activement Utilisé dans la Dernière Campagne Contre des Entités Gouvernementales

Nouveau jour, nouvelle menace malveillante défiant les défenseurs de la cybersécurité ! Récemment, des chercheurs en sécurité ont révélé une nouvelle souche de logiciel malveillant activement exploitée par Mustang Panda APT dans leur campagne en cours contre des cibles en Europe et en Asie. Baptisée MQsTTang, cette nouvelle porte dérobée sur mesure a été développée de toutes pièces pour passer inaperçue et rendre l’attribution plus difficile tout en attaquant des entités gouvernementales et politiques d’intérêt pour les attaquants.

Détection de la porte dérobée MQsTTang

Pour repérer l’activité malveillante dès les premières étapes du développement de l’attaque et défendre de manière proactive l’infrastructure organisationnelle contre les infections potentielles de MQsTTang, les spécialistes de la sécurité peuvent utiliser un ensemble de règles Sigma disponibles sur la plateforme de SOC Prime pour une défense cyber collective.

Comportement possible de la porte dérobée MQsTTang [avec chargeur Korplug] associée au groupe Mustang Panda APT par détection des DLL associées (via file_event)

La première règle développée par notre membre attentif du Threat Bounty Aytek Aytemur identifie les DLL malveillantes liées à la porte dérobée MQsTTang. La détection peut être appliquée sur plus de 20 plateformes SIEM, EDR et XDR et est mappée au cadre MITRE ATT&CK v12 abordant les tactiques d’exécution et d’évasion de la défense, avec l’exécution de l’utilisateur (T1204) et l’injection de processus (T1055) comme techniques correspondantes.

Comportement suspect de la nouvelle porte dérobée de Mustang Panda [MQsTTang] par détection de la clé de registre associée (via registry_event)

La deuxième règle par le développeur expérimenté de Threat Bounty Mustafa Gurkan KARAKAYA identifie les activités de persistance de MQsTTang via l’ajout d’une clé de registre. La règle est compatible avec plus de 15 solutions SIEM, EDR et XDR et est mappée au MITRE ATT&CK v12 abordant la tactique d’évasion de la défense avec la modification du registre (T1112) comme technique principale.

Envie de maîtriser vos compétences en ingénierie de détection tout en contribuant à la sécurité mondiale ? Rejoignez les forces du développement de contenu participatif via le Program Threat Bounty pour aider la communauté mondiale des défenseurs cyber à garder une longueur d’avance sur les attaquants. Rédigez vos propres règles Sigma taguées avec ATT&CK, faites-les publier sur la plateforme SOC Prime, et gagnez à la fois de l’argent et de la reconnaissance de la part de vos pairs de l’industrie.

Appuyez sur le bouton Explorer les Détections ci-dessous et accédez immédiatement à la collection complète de règles Sigma pour détecter les outils et techniques d’attaque associés au collectif Mustang Panda APT. Tous les algorithmes de détection sont accompagnés des références ATT&CK correspondantes, des liens de renseignement sur les menaces et d’autres métadonnées pertinentes.

Explorer les Détections

Analyse de la porte dérobée MQsTTang

Mustang Panda APT (également connu sous le nom TA416, Bronze President) est un collectif APT d’origine chinoise bien connu pour sa famille de logiciels malveillants PlugX souvent utilisée dans les opérations de vidage de données.

La dernière enquête d’ESET révèle la présence d’une nouvelle porte dérobée circulant dans l’arène malveillante depuis au moins janvier 2023. La nouvelle menace semble avoir été développée de zéro, sans chevauchements de code avec des échantillons plus anciens, permettant ainsi aux adversaires de passer facilement outre les protections de sécurité pendant les nouvelles opérations malveillantes.

La toute première campagne MQsTTang a été lancée au début de 2023 et est toujours en cours, ciblant des entités gouvernementales et diplomatiques à travers l’Europe et l’Asie. La chaîne de destruction de l’attaque commence généralement par un email de phishing déposant une charge malveillante. Les exécutables sont déposés sous forme d’archives RAR déguisées en scans de passeports de membres de missions diplomatiques, de notes d’ambassade ou d’appâts similaires.

Une fois exécuté, le logiciel malveillant crée une copie de lui-même avec un argument de ligne de commande qui exécute une variété de tâches malveillantes, telles que le lancement de communications de commande et de contrôle (C2), l’assurance de la persistance, etc.

Notamment, MQsTTang s’appuie sur le protocole MQTT pour les communications C2. Une telle approche assure la résilience aux démantèlements C2 et masque l’infrastructure des adversaires en routant toutes les communications via un courtier. De plus, en utilisant MQTT, les attaquants peuvent échapper à la détection, car les praticiens de la sécurité ont tendance à rechercher des protocoles C2 plus courants lors de l’investigation d’incidents.

Restez en avance sur les adversaires avec des règles Sigma sélectionnées contre toute attaque APT actuelle ou émergente. Plus de 900 règles pour les outils et attaques liés aux APT sont à portée de main ! Obtenez-en plus de 200 gratuitement ou accédez à tout le contenu de détection pertinent à la demande sur my.socprime.com/pricing.