Rilevamento del Backdoor MQsTTang: Nuovo Malware Personalizzato da Mustang Panda APT Utilizzato Attivamente nella Più Recente Campagna Contro Enti Governativi

Nuovo giorno, nuova minaccia malevola che sfida i difensori informatici! Recentemente, i ricercatori di sicurezza hanno rivelato un nuovo ceppo di malware utilizzato attivamente dal gruppo APT Mustang Panda nella loro campagna in corso contro obiettivi in Europa e Asia. Chiamato MQsTTang, il nuovo backdoor su misura è stato sviluppato da zero per passare inosservato e rendere più difficile l’attribuzione mentre attacca entità governative e politiche d’interesse degli attaccanti.

Rilevamento del Backdoor MQsTTang

Per individuare l’attività malevola nelle fasi iniziali dello sviluppo dell’attacco e difendere proattivamente l’infrastruttura organizzativa da potenziali infezioni MQsTTang, gli operatori di sicurezza possono sfruttare un set di regole Sigma disponibili sulla piattaforma di SOC Prime per la difesa informatica collettiva.

Comportamento possibile del Backdoor MQsTTang [con Korplug Loader] associato al gruppo APT Mustang Panda rilevando DLL associate (via file_event)

La prima regola sviluppata dal nostro attento membro di Threat Bounty Aytek Aytemur identifica DLL malevole legate al backdoor MQsTTang. La rilevazione può essere applicata su oltre 20 piattaforme SIEM, EDR e XDR ed è mappata al framework MITRE ATT&CK v12 rivolgendosi alle tattiche di Esecuzione e Evasione Difensiva, con Esecuzione Utente (T1204) e Iniezione di Processo (T1055) come tecniche corrispondenti.

Comportamento sospetto del nuovo backdoor di Mustang Panda [MQsTTang] rilevando una chiave di registro associata (via registry_event)

La seconda regola dallo sviluppatore esperto di Threat Bounty Mustafa Gurkan KARAKAYA identifica attività di persistenza del MQsTTang tramite l’aggiunta di una chiave di registro. La regola è compatibile con oltre 15 soluzioni SIEM, EDR e XDR e viene mappata a MITRE ATT&CK v12 affrontando la tattica di Evasione Difensiva con Modifica del Registro (T1112) come tecnica primaria.

Desideroso di perfezionare le tue abilità di ingegneria della rilevazione contribuendo alla sicurezza del mondo? Unisciti alle forze per lo sviluppo di contenuti tramite il Programma di Ricompense per le Minacce per aiutare la comunità globale dei difensori informatici a rimanere un passo avanti agli attaccanti. Scrivi le tue regole Sigma con tag ATT&CK, pubblicale su SOC Prime Platform e guadagna sia denaro che riconoscimento dai tuoi pari nel settore.

Premi il pulsante Esplora Rilevazioni qui sotto e accedi immediatamente alla raccolta completa di regole Sigma per rilevare strumenti e tecniche di attacco associate al collettivo APT Mustang Panda. Tutti gli algoritmi di rilevazione sono accompagnati dalle corrispondenti referenze ATT&CK, link di intelligence sulle minacce e altri metadati rilevanti.

Esplora Rilevazioni

Analisi del Backdoor MQsTTang

Mustang Panda APT (alias TA416, Bronze President) è un collettivo APT di origine cinese noto per la sua famiglia di malware PlugX frequentemente utilizzata in operazioni di dump dei dati.

L’ultima indagine di ESET rivela la presenza di un nuovo backdoor in circolazione nell’arena malevola almeno da gennaio 2023. La nuova minaccia sembra essere sviluppata da zero, senza sovrapposizioni di codice con campioni più vecchi, quindi gli avversari possono facilmente sfuggire alle protezioni di sicurezza durante le nuove operazioni malevole.

La primissima campagna MQsTTang è stata lanciata all’inizio del 2023 ed è ancora in corso prendendo di mira entità governative e diplomatiche in Europa e Asia. La catena di attacco di solito inizia con un’email di phishing che rilascia un payload malevolo. Gli eseguibili vengono rilasciati sotto forma di archivi RAR travestiti da scansioni di passaporti di membri delle missioni diplomatiche, note dell’ambasciata o esche simili.

Una volta eseguito, il malware crea una copia di se stesso con un argomento di riga di comando che esegue una varietà di compiti malevoli, come lanciare comunicazioni di comando e controllo (C2), garantire la persistenza, ecc.

È importante notare che MQsTTang si affida al protocollo MQTT per le comunicazioni C2. Un tale approccio assicura resilienza alle eliminazioni di C2 e maschera l’infrastruttura degli avversari indirizzando tutte le comunicazioni attraverso un broker. Inoltre, l’utilizzo di MQTT consente agli attaccanti di eludere il rilevamento poiché i professionisti della sicurezza tendono a cercare protocolli C2 più comuni durante le indagini sugli incidenti.

Stai un passo avanti agli avversari con regole Sigma curate contro qualsiasi attacco APT attuale o emergente. Oltre 900 regole per strumenti e attacchi legati agli APT sono proprio a portata di mano! Ottieni oltre 200 gratuitamente o accedi a tutto il contenuto di rilevazione pertinente con On-Demand su my.socprime.com/pricing.