Détection du Malware PlugX : Le Gang de Crimes Bronze President Utilise un RAT Modulaire Post-Exploitation dans la Dernière Vague de Criminalité
Table des matières :
Un réseau criminel soutenu par la Chine appelé Bronze President a lancé une campagne ciblant des responsables gouvernementaux en Europe, au Moyen-Orient et en Amérique du Sud en exploitant le malware PlugX – la porte dérobée populaire parmi les groupes de hackers chinois.
Selon les chercheurs, l’objectif principal du groupe de menaces est l’espionnage.
Détecter le malware PlugX
SOC Prime fournit Threat Hunting & Cyber Threat Intelligence pour accélérer les opérations SOC, en tirant parti des avantages d’une approche axée sur le code pour des pratiques de sécurité évolutives et efficaces. Les règles basées sur Sigma suivantes, publiées par les développeurs Threat Bounty de SOC Prime Wirapong Petshagun and Zaw Min Htun (ZETA) aident les praticiens de la sécurité à détecter si les systèmes ont été exposés au malware PlugX :
Exécution possible du chargeur de RAT PlugX par détection d’un fichier DLL chargé (via image_load)
Les détections sont disponibles pour plus de 26 plateformes SIEM, EDR & XDR, alignées avec le cadre MITRE ATT&CK® v.10.
Suivez les prochaines publications pour ne pas manquer les éléments de contenu SOC frais liés à cette campagne. Obtenez un accès instantané en cliquant sur le bouton Explorer les Détections .
Analyse du malware PlugX
Le groupe de hackers criminels Bronze President, également connu sous les noms de Mustang Panda, HoneyMyte, Red Lich, Temp.Hex., TA416 et RedDelta, utilise des logiciels malveillants clos et open-source pour compromettre des entités dans un large éventail de secteurs industriels depuis 2018. Parmi les outils que les acteurs de la menace utilisent se trouvent à la fois des logiciels légitimes et malveillants tels que Cobalt Strike, China Chopper, ORat et RCSession.
Le modus operandi du cluster suggère qu’il est soit simplement toléré par le gouvernement chinois, soit même mandaté par celui-ci.
Au printemps 2022, des analystes en menaces de ESET ont publié un rapport détaillé sur la campagne de cyberespionnage menée par le Bronze President. Le groupe de menaces a utilisé l’une des versions de PlugX étiquetée Hodur dans des attaques à travers l’Asie de l’Est et du Sud-Est, l’Europe et l’Afrique, la diffusant dans une campagne de spear-phishing.
La plus récente campagne se caractérise par l’introduction de fichiers d’archive RAR pour distribuer des malwares. Lorsque la victime ouvre un fichier RAR armé, un fichier de raccourci Windows (LNK) qui ressemble à un document s’affiche. Cliquer sur ce “fichier” exécutera le malware. Les attaques ont été documentées en juin et juillet 2022.
Il n’y a pas de solution miracle face aux menaces de sécurité modernes. Les professionnels SOC ont besoin des meilleures solutions de leur catégorie conçues pour identifier rapidement les menaces avant que les attaquants n’installent des mécanismes de persistance, ne volent des données ou n’injectent des charges utiles. Pour anticiper les menaces émergentes et renforcer vos opérations SOC, obtenez un abonnement au Threat Detection Marketplace. Le TDM est un guichet unique pour tout le contenu SOC pertinent cross-vendeur et cross-outil adapté à 25 technologies SIEM, EDR et XDR leaders sur le marché. Le contenu est continuellement enrichi avec des contextes de menaces supplémentaires, ainsi que vérifié pour l’impact, l’efficacité, les faux positifs et d’autres considérations opérationnelles grâce à une série d’audits d’assurance qualité.
