Rilevamento degli attacchi APT di Earth Preta: APT collegata alla Cina colpisce l’Asia con il malware DOPLUGS, una nuova variante di PlugX
Indice:
Il nefando China-backed Earth Preta APT noto anche come Mustang Panda ha preso di mira i paesi asiatici nella campagna avversaria di lunga data, che ha applicato un’iterazione avanzata di malware PlugX soprannominato DOPLUGS.
Rilevamento degli attacchi Earth Preta utilizzando il malware DOPLUGS
L’anno 2023 è stato segnato dall’attività in aumento dei collettivi APT, riflettendo l’influenza delle tensioni geopolitiche esistenti sul dominio informatico. Questa volta, esperti di sicurezza riferiscono di Earth Prera APT affiliato alla Cina che sposta la sua attenzione verso la regione Asia-Pacifico, oltre che verso i paesi europei. Per rilevare potenziali intrusioni nelle prime fasi di sviluppo e resistere agli attacchi in escalation, i difensori informatici necessitano di soluzioni innovative per la rilevazione e la caccia alle minacce.
La piattaforma SOC Prime aggrega un set di algoritmi di rilevamento curati, accompagnati da strumenti avanzati di sicurezza informatica per ottimizzare l’investigazione della caccia alle minacce e abilitare una difesa informatica proattiva. Premere il pulsante Esplora Rilevazioni qui sotto per esplorare l’elenco delle regole Sigma per l’ultima campagna SMUGX di Earth Preta.
Tutte le regole sono compatibili con 28 soluzioni SIEM, EDR, XDR e Data Lake e mappate su MITRE ATT&CK framework v14.1. Inoltre, le rilevazioni sono arricchite di metadati pertinenti, comprese linee temporali degli attacchi, riferimenti CTI, raccomandazioni di triage e altro.
Inoltre, i professionisti della sicurezza potrebbero esplorare una regola Sigma correlata qui sotto che aiuta a identificare il comportamento della campagna SMUGX relativo alle directory associate.
Per approfondire le TTP di Earth Preta e esplorare lo stack di rilevamento correlato, i professionisti della sicurezza potrebbero seguire questo link per ulteriori informazioni. Inoltre, utilizzando questo link, i difensori informatici potrebbero trovare regole utili per identificare gli attacchi PlugX.
Analisi dell’attacco Earth Preta aka Mustang Panda: Panoramica della campagna che sfrutta DOPLUGS
A metà estate 2023, i ricercatori di Check Point hanno scoperto una nuova campagna avversaria SMUGX che prendeva di mira paesi europei ed era collegata all’attività malevola di Earth Preta (noto anche come Mustang Panda o Bronze President).
I ricercatori di Trend Micro hanno ulteriormente rivelato un’email di phishing che prendeva di mira un ente statale taiwanese e contenente un ceppo di malware PlugX personalizzato, identico ai campioni di malware usati negli attacchi SMUGX contro l’Europa. Come si è rivelato, la persistente campagna SMUGX abbracciava non solo l’Europa ma anche Taiwan e Vietnam, essendo i principali bersagli, insieme a Cina, Giappone, Malesia e altri paesi asiatici.
Il campione rivelato di malware PlugX personalizzato, che è stato al centro dell’attenzione dal 2022, era diverso dalla comune variante PlugX nota anche come Korplug che sfruttava un modulo di comando di backdoor completato. L’iterazione aggiornata di PlugX è stata chiamata DOPLUGS e impiegava un worm USB noto come modulo KillSomeOne.
PlugX è un famigerato RAT attribuito ai kit di strumenti offensivi di diversi collettivi di hacking, inclusi Mustang Panda. Il gruppo è stato osservato utilizzare PlugX come uno dei suoi strumenti di base nelle operazioni informatiche. Mustang Panda APT è attivo almeno dal 2012, sebbene le sue attività siano emerse maggiormente e siano venute alla luce nella comunità della cybersecurity intorno al 2017. Oltre a PlugX, il gruppo sfrutta anche software sia legittimi che malevoli come Cobalt Strike, China Chopper, ORat e altri strumenti. Il gruppo prende di mira principalmente entità nella regione Asia-Pacifico e in Europa, in particolare organizzazioni legate al settore pubblico, insieme a settori industriali militari, finanziari e tecnologici.
Nella più recente campagna di lunga durata, gli attori di Earth Preta sfruttano una variante avanzata di PlugX chiamata DOPLUGS, che è un downloader dannoso progettato per facilitare l’installazione e l’esecuzione di payload malevoli, incluso il malware PlugX. Dal 2018, Earth Preta ha continuamente rivisto i set di comandi di backdoor all’interno di PlugX, attraversando almeno quattro generazioni di campioni di malware. Ad esempio, a fine marzo 2022, Mustang Panda ha distribuito una nuova variante del PlugX RAT chiamato Hodur, prendendo di mira organizzazioni ucraine e missioni diplomatiche in tutta Europa.
L’ultima iterazione di DOPLUGS applica una nuova tattica sfruttando un’applicazione legittima di Adobe per attrarre le vittime, con la maggior parte dei campioni provenienti dal Vietnam secondo i dati di VirusTotal. In questa campagna, tipica del comportamento avversario del gruppo, Earth Preta APT impiega email di spear-phishing per l’accesso iniziale e sfrutta link di Google Drive con un archivio protetto da password progettato per scaricare il malware DOPLUGS sui sistemi compromessi.
Mentre il gruppo continua a essere attivo in Europa e Asia, è cruciale per i difensori aumentare la consapevolezza e rimanere vigili per proteggersi dagli attacchi di Earth Preta di qualsiasi scala e sofisticazione. Inizia con Uncoder IO per aiutarti a scrivere codice di rilevamento per le minacce emergenti più velocemente, tradurlo in modo automatico in molteplici lingue SIEM, EDR e Data Lake, e convertire istantaneamente l’intelligence sulle minacce in query IOC personalizzate per una caccia IOC retrospettiva semplificata.
