Logiciel malveillant PlugX utilisé par l’acteur APT aligné sur la Chine TA416 cible les alliés européens pour paralyser les services aux réfugiés ukrainiens

[post-views]
mars 11, 2022 · 4 min de lecture
Logiciel malveillant PlugX utilisé par l’acteur APT aligné sur la Chine TA416 cible les alliés européens pour paralyser les services aux réfugiés ukrainiens

Le groupe APT parrainé par l’État chinois TA416 (alias Mustang Panda/Red Delta) a été découvert ciblant les agences gouvernementales européennes et les entités diplomatiques qui fournissent des services aux réfugiés et migrants ukrainiens fuyant l’agression russe. Une analyse détaillée montre que les attaquants visent principalement à mener des cyber-espionnage campagnes à long terme plutôt que de rechercher des gains immédiats.

La recherche menée par Proofpoint met en évidence que les attaquants utilisent des web bugs pour livrer une variété de souches de malware PlugX. La situation s’aggrave du fait que les acteurs de TA416 ont récemment amélioré PlugX vers une version de malware plus sophistiquée en modifiant son encodage et en ajoutant de nouvelles capacités de configuration. Par conséquent, le contenu de détection ancien pour ce malware pourrait ne pas être suffisant.

TA416 PlugX Détection

Les praticiens de la sécurité peuvent trouver ci-dessous la dernière règle de détection basée sur Sigma conçue par le développeur Threat Bounty de SOC Prime, Nattatorn Chuensangarun. Cette règle capture les nouvelles variantes de PlugX qui ont été récemment identifiées par les chercheurs comme un nouveau logiciel malveillant plus avancé utilisé par les célèbres acteurs de phishing chinois pour cibler les alliés européens

TA416 Utilise un Web Bug pour cibler les gouvernements européens avec PlugX

Connectez-vous à votre compte existant ou inscrivez-vous à la plateforme Detection as Code de SOC Prime pour accéder à cette détection dans une gamme des formats suivants : Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender for Endpoint, FireEye, Carbon Black, LogPoint, Graylog, Regex, Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Qualys, et AWS OpenSearch.

Cette règle de détection aborde les techniques et sous-techniques de MITRE ATT&CK® telles que l’Exécution Autostart de Boot ou de Logon (T1547) et l’Exécution par l’utilisateur : Fichier malveillant (T1204.002).

Pour défendre proactivement votre infrastructure, découvrez le plus grand pool de contenu de détection au monde sur la plateforme Detection as Code de SOC Prime qui connecte des chercheurs en cybersécurité qualifiés et des développeurs de contenu compétents du monde entier. Vous souhaitez devenir contributeur de contenu vous-même ? Rejoignez notre programme Threat Bounty pour soumettre votre contenu de détection et avoir une chance d’obtenir des récompenses récurrentes pour votre travail.

Voir les Détections Rejoindre Threat Bounty

Tactiques de TA416 Analyse

Le vecteur d’attaque cybernétique le plus récent a été en ligne avec la campagne d’adversaires commune de TA416/Red Delta collectif APT qu’ils pratiquent au moins depuis 2020. Tout commence par des emails de phishing usurpant des organisations diplomatiques européennes. Le groupe APT TA416 a utilisé SMTP2Go, un service de marketing par email légitime, qui leur permet de modifier le champ de l’expéditeur de l’enveloppe. Alternativement, les acteurs de la menace TA416 ont également utilisé des emails de diplomates compromis pour livrer des charges virales aux responsables de l’OTAN à la fin de février 2022, juste après que la Russie ait envahi l’Ukraine.

Une URL malveillante intégrée dans un email infecté initie le téléchargement d’un fichier archive avec un dropeur de malware lors d’un clic. Ce fichier, à son tour, télécharge quatre composants :

  • malware PlugX
  • chargeur PlugX
  • chargeur de processus DLL
  • fichier leurre PDF

Les chercheurs en cybersécurité mentionnent que les acteurs de menace chinois utilisent une variété de versions de chargeurs initiaux, ainsi que des charges finales, et des routines de communication différentes. C’est pourquoi il pourrait y avoir une large variété d’IOCs, tandis que les TTPs corrélés à TA416 ne sont pas très différents de ceux qu’ils utilisent depuis 2020, ce qui rend les campagnes de TA416 plus faciles à détecter.

Pour faire évoluer les capacités de détection des menaces plus rapidement et plus efficacement, les organisations individuelles peuvent exploiter la puissance de la défense collaborative contre les cybermenaces et enrichir leur expertise avec les meilleures pratiques de l’industrie. Rejoignez la plateforme Detection as Code de SOC Prime, la plateforme la plus grande et la plus avancée pour la défense collaborative contre les cybermenaces, pour rester en avance sur les menaces émergentes et renforcer vos opérations SOC.

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Accéder aux fonctionnalités d’Uncoder AI via l’API 2 min de lecture Plateforme SOC Prime Accéder aux fonctionnalités d’Uncoder AI via l’API by Steven Edwards Rechercher sur la place de marché de détection des menaces d’Uncoder AI 2 min de lecture Plateforme SOC Prime Rechercher sur la place de marché de détection des menaces d’Uncoder AI by Steven Edwards Traduire depuis Sigma en 48 langues 2 min de lecture Plateforme SOC Prime Traduire depuis Sigma en 48 langues by Steven Edwards
Toutes les actualités