Rilevamento di Malware PlugX: Il Gruppo Criminale Bronze President Utilizza un RAT Modulare di Post-Exploitation nell’Ultima Ondata Criminale
Indice:
Un gruppo criminale supportato dalla Cina denominato Bronze President ha lanciato una campagna mirata a funzionari governativi in Europa, Medio Oriente e Sud America sfruttando il malware PlugX – il backdoor popolare tra le gang di hacker cinesi.
Secondo i ricercatori, l’obiettivo principale del gruppo di minacce è lo spionaggio.
Rileva il Malware PlugX
SOC Prime fornisce Threat Hunting & Cyber Threat Intelligence per operazioni SOC accelerate, sfruttando i benefici di un approccio basato sul codice per pratiche di sicurezza scalabili ed efficaci. Le seguenti regole basate su Sigma rilasciate dagli sviluppatori Threat Bounty di SOC Prime Wirapong Petshagun and Zaw Min Htun (ZETA) aiutano i professionisti della sicurezza a rilevare se i sistemi sono stati esposti al malware PlugX:
Possibile esecuzione del caricatore RAT PlugX mediante rilevamento di DLL caricata (via image_load)
Le rilevazioni sono disponibili per più di 26 piattaforme SIEM, EDR & XDR, allineate al framework MITRE ATT&CK® v.10.
Segui le prossime uscite per non perdere nuovi contenuti SOC relativi a questa campagna. Ottieni accesso immediato cliccando il pulsante Esplora Rilevazioni .
Analisi del Malware PlugX
Il gruppo criminale hacker Bronze President, noto anche come Mustang Panda, HoneyMyte, Red Lich, Temp.Hex., TA416 e RedDelta, utilizza software dannoso closed-source e open-source per compromettere entità in una vasta gamma di settori industriali dal 2018. Tra gli strumenti utilizzati dagli attori di minaccia ci sono sia software legittimi che dannosi come Cobalt Strike, China Chopper, ORat e RCSession.
Il modus operandi del cluster suggerisce che sia semplicemente tollerato dal governo cinese o addirittura incaricato da esso.
Nella primavera del 2022, gli analisti delle minacce di ESET hanno rilasciato un rapporto dettagliato sulla campagna di cyber spionaggio condotta da Bronze President. Il gruppo di minaccia ha utilizzato una delle versioni di PlugX denominata Hodur negli attacchi condotti in Asia orientale e sudorientale, Europa e Africa, diffondendola in una campagna di spear-phishing.
La più recente campagna è caratterizzata dall’introduzione di file di archivio RAR per distribuire malware. Quando la vittima apre un file RAR armato, viene mostrato un file di collegamento (LNK) di Windows che sembra un documento. Facendo clic su questo “file” verrà eseguito il malware. Gli attacchi sono stati documentati a giugno e luglio 2022.
Non esiste una soluzione universale quando si tratta di minacce alla sicurezza moderne. I professionisti SOC hanno bisogno delle migliori soluzioni progettate per aiutare a identificare tempestivamente le minacce prima che gli attaccanti impostino meccanismi di persistenza, rubino dati o iniettino payload. Per stare al passo con le minacce emergenti e potenziare le tue operazioni SOC, abbonati a Threat Detection Marketplace. Il TDM è un negozio unico per tutti i contenuti SOC rilevanti su fornitori e strumenti, adattati a 25 tecnologie leader di mercato SIEM, EDR e XDR. Il contenuto è continuamente arricchito con ulteriore contesto di minaccia, oltre ad essere verificato per impatto, efficienza, falsi positivi e altre considerazioni operative attraverso una serie di controlli di assicurazione della qualità.
