Individuare il Trojan PlugX Mascherato come Strumento di Debug di Windows Legittimo per Passare Inosservato
Indice:
Vecchio cane, nuovi trucchi! I ricercatori di sicurezza hanno rivelato PlugX remote access Trojan (RAT) si maschera come un popolare strumento di debug open-source per Windows chiamato x65dbg. Affidandosi al caricamento laterale di DLL per questo trucco di spoofing, il RAT nefasto riesce a superare i controlli di sicurezza e ottenere il pieno controllo sull’istanza bersagliata.
Rilevamento del Trojan PlugX Remote Access
Il Trojan PlugX, che è stato attivamente utilizzato in attacchi informatici per oltre un decennio, principalmente popolare tra i collettivi di hacker cinesi, riemerge nell’arena delle minacce informatiche. I difensori preoccupati avvertono le organizzazioni di una nuova variante di PlugX che tenta di passare inosservata simulando app legittime. La piattaforma Detection as Code di SOC Prime consente ai team di sicurezza di rilevare proattivamente le minacce attuali ed emergenti di qualsiasi scala e sofisticazione, inclusi nuovi campioni di malware. Per aiutare le organizzazioni a identificare tempestivamente l’infezione da Trojan PlugX nella loro infrastruttura, la piattaforma SOC Prime ha recentemente rilasciato una nuova regola Sigma scritta dal nostro attento sviluppatore Threat Bounty, Emre Ay:
Possibile attività del Trojan PlugX tramite rilevamento di comandi associati (via process_creation)
Questa regola Sigma rileva l’attività del Trojan PlugX relativa all’esecuzione del malware tramite il comune metodo avversario noto come rundll32, che consente l’evasione della difesa. Il rilevamento può essere applicato su 20+ piattaforme SIEM, EDR e XDR ed è mappato al MITRE ATT&CK framework v12 affrontando la tattica di evasione della difesa con l’esecuzione proxy del sistema binario (T1218) come sua tecnica principale.
I cacciatori di minacce e gli ingegneri della rilevazione che cercano di contribuire all’intelligenza collettiva sono invitati a unirsi ai ranghi del sviluppatori del Threat Bounty Program. Creando e condividendo contenuti di rilevamento con la comunità di difensori cibernetica guidata dai pari, gli aspiranti appassionati di sicurezza possono padroneggiare le loro abilità in Sigma e MITRE ATT&CK, codificare il loro CV e progredire nell’ingegneria della rilevazione mentre guadagnano benefici finanziari per i loro contributi.
Clicca sul Esplora rilevamenti pulsante qui sotto per approfondire immediatamente l’intera lista di regole Sigma per il rilevamento del malware PlugX relative sia all’attacco informatico attuale sia alle campagne dannose precedenti che sfruttano i famigerati campioni di Trojan. Tutte le regole Sigma sono arricchite con informazioni rilevanti sulle minacce informatiche per semplificare le indagini e fornire un contesto completo degli attacchi e dei modelli di comportamento degli avversari.
Analizzando le ultime campagne del Trojan PlugX
PlugX (aka Korplug, Hodur e RedDelta) è apparso per la prima volta nell’arena maliziosa intorno al 2008, usato da criminali come una backdoor per ottenere il pieno controllo sui sistemi bersagliati. Inizialmente, la famiglia di malware era usata da collettivi APT sostenuti dalla Cina. Tuttavia, in seguito diversi attori in tutto il mondo hanno adottato il RAT PlugX per le loro operazioni dannose.
Negli attacchi più recenti, gli hacker hanno simulato la versione a 32 bit di uno strumento di debug di Windows noto come x64dbg.exe. PlugX RAT ha sfruttato una tecnica dannosa chiamata caricamento laterale di DLL per scaricare un payload dopo aver dirottato l’app legittima fidata. Il debugger x64dbg è stato avvelenato con un x32bridge.dll that loads the PlugX as x32bridge.dat.
Inizialmente, la versione di x64dbg dirottata è stata rivelata dagli esperti di Unit 42 nel gennaio 2023, analizzando la nuova versione di PlugX che si affida a unità USB rimovibili per infettare altre macchine Windows sulla rete bersaglio. La persistenza, in questo caso, è raggiunta tramite modifiche al Registro di Windows e la creazione di attività pianificate che garantiscono l’operazione continua indipendentemente dal riavvio della macchina. Ulteriore analisi da parte di Trend Micro ha individuato l’applicazione di x32bridge.exe per far cadere una backdoor insieme a un client shell UDP utilizzato per raccogliere informazioni sul sistema.
Non esiste una soluzione miracolosa quando si tratta di minacce alla sicurezza moderne. Con l’evoluzione continua delle tecniche di hacking, i difensori cibernetici necessitano di soluzioni affidabili per identificare tempestivamente le minacce prima che gli avversari stabiliscano meccanismi di persistenza, rubino dati o iniettino payload. Affidati a https://socprime.com/ per superare in astuzia e velocità gli attori delle minacce avendo sempre a disposizione oltre 10K regole Sigma.
