Rilevazione degli Attacchi Earth Preta aka Mustang Panda: Abuso di Account Google Falsi in Campagne di Spear-Phishing che Prendono di Mira Governi in Tutto il Mondo
Indice:
L’infame Earth Preta collegato alla Cina (alias Mustang Panda, Bronze President, TA416) APT è stato attribuito a un’ondata di attacchi di spear-phishing contro organizzazioni globali in vari settori industriali, inclusi istituti governativi, principalmente nelle regioni dell’Asia-Pacifico. I ricercatori di cybersecurity hanno osservato che gli attori delle minacce hanno abusato di account Google falsi per diffondere diverse varianti di malware, inclusi i backdoor TONEINS, TONESHELL e PUBLOAD.
Rileva l’attività recente dell’avversario Earth Preta alias Mustang Panda
Gli attori di minacce collegati alla Cina monitorati come Earth Preta alias Mustang Panda, o Bronze President sono stati in primo piano nell’arena delle minacce informatiche dal marzo 2022, prendendo di mira organizzazioni globali in vari settori industriali e ampliando continuamente la loro portata di attacchi e migliorando le loro capacità offensive. Per aiutare le organizzazioni a identificare tempestivamente potenziali intrusioni associate ai recenti attacchi di spear-phishing da parte degli attori sostenuti dalla Cina, SOC Prime ha recentemente rilasciato un paio di regole Sigma rilevanti elaborate dai nostri esperti sviluppatori Threat Bounty Wirapong Petshagun and Kyaw Pyiyt Htet (Mik0yan). Entrambe le regole Sigma rilevano l’uso della tecnica DLL side-loading utilizzata dagli attaccanti nelle campagne di spear-phishing in corso. Le rilevazioni sono compatibili con le soluzioni SIEM, EDR, BDP e XDR leader nel settore e sono mappate al più recente framework MITRE ATT&CK® v12.
Segui i link qui sotto per andare direttamente alle regole Sigma dedicate arricchite con metadati contestuali approfonditi per un’indagine sulle minacce più fluida:
Questa regola Sigma di Wirapong Petshagun indirizza la tattica di elusione della difesa con il Flusso di Esecuzione di dirottamento (T1574) applicato come tecnica principale di ATT&CK.
La suddetta rilevazione sviluppata da Kyaw Pyiyt Htet (Mik0yan) affronta le tattiche di elusione della difesa e dell’esecuzione con i corrispondenti Flusso di Esecuzione di dirottamento (T1574) e Esecuzione utente (T1204).
I ricercatori di minacce aspiranti in cerca di modi per contribuire alla difesa cyber collettiva sono invitati a unirsi ai ranghi del Threat Bounty Program iniziativa crowdsourced. Scrivi codice di rilevazione supportato da Sigma e ATT&CK, condividi la tua esperienza con i tuoi coetanei del settore e ricevi una ricompensa per la qualità e velocità del tuo lavoro mentre migliori costantemente le tue abilità di Ingegneria delle Rilevazioni.
Le organizzazioni progressiste che cercano di colmare tutte le lacune nella loro copertura di rilevazione delle minacce possono essere interessate all’intera lista di regole Sigma per rilevare l’attività malevola di Earth Preta alias Mustang Panda APT. Clicca sul pulsante Esplora Rilevazioni qui sotto per raggiungere regole Sigma rilevanti insieme a traduzioni per oltre 25 tecnologie di sicurezza e immergiti in un contesto di minacce informatiche completo, come riferimenti MITRE ATT&CK, link CTI, mitigazioni e metadati più azionabili.
Earth Preta alias Mustang Panda APT: Analisi delle campagne di spear-phishing che colpiscono i governi di tutto il mondo
I difensori cyber riportano che le reti governative sono potenzialmente sotto attacco malware dal noto collettivo hacker conosciuto come Earth Preta (alias Mustang Panda, Bronze President, TA416).
Trend Micro I ricercatori di cybersecurity hanno osservato le campagne in corso del gruppo APT sostenuto dalla Cina utilizzando il vettore di attacco di spear-phishing. In questi attacchi, i hacker di Earth Preta hanno abusato di account Google falsi per consegnare malware personalizzati che prendono di mira principalmente entità governative e altre organizzazioni nella regione dell’Asia Pacifico da marzo. La catena di infezione viene innescata scaricando e aprendo i file di archivio diffusi tramite i link di Google Drive. Una volta aperti, questi file esca portano all’esecuzione di varianti di malware sui sistemi compromessi tramite la tecnica avversaria del DLL side-loading. La campagna malevola coinvolge la diffusione delle famiglie di malware TONEINS, TONESHELL e PUBLOAD, che, a loro volta, possono distribuire altri payload rimanendo sotto il radar. Dopo aver infiltrato i sistemi compromessi, i dati sensibili rubati possono essere successivamente sfruttati come vettore di ingresso per altre intrusioni, il che rappresenta un rischio più serio per le organizzazioni potenzialmente compromesse e aumenta la portata e l’impatto degli attacchi.
Mustang Panda è un gruppo APT di cyber spionaggio sostenuto dalla Cina, emerso nell’arena delle minacce informatiche nell’estate del 2018. Il collettivo hacker è noto per lo sviluppo dei propri loader malevoli personalizzati in combinazione con strumenti avversari popolari come PlugX e Cobalt Strike per compromettere i sistemi mirati. Alla fine di marzo 2022, il gruppo ha sfruttato una nuova variante PlugX RAT soprannominata Hodur mirante su organizzazioni ucraine e missioni diplomatiche europee.
Poiché il gruppo aggiorna costantemente il suo toolkit avversario, migliorando le capacità offensive e aggiungendo più campioni di malware personalizzati al suo arsenale per l’elusione della rilevazione, i difensori informatici devono essere pronti a rilevare proattivamente la loro attività malevola.
Come misure di mitigazione, alle organizzazioni si consiglia fortemente di seguire le migliori pratiche di sicurezza per proteggere la loro infrastruttura dagli attacchi di phishing e abilitare la protezione email multilivello.
Rimani avanti agli avversari con le regole Sigma curate contro qualsiasi attacco APT corrente o emergente. Più di 900 regole per strumenti e attacchi correlati agli APT sono subito a disposizione! Ottieni oltre 200 gratuitamente o accedi a tutti i contenuti di rilevazione rilevanti con On-Demand su my.socprime.com/pricing.
