Malware PlugX usato dall’attore APT allineato con la Cina TA416 prende di mira gli alleati europei per ostacolare i servizi ai rifugiati ucraini

[post-views]
Marzo 11, 2022 · 4 min di lettura
Malware PlugX usato dall’attore APT allineato con la Cina TA416 prende di mira gli alleati europei per ostacolare i servizi ai rifugiati ucraini

Il gruppo APT sponsorizzato dallo stato cinese TA416 (alias Mustang Panda/Red Delta) è stato trovato ad attaccare agenzie governative europee ed entità diplomatiche che forniscono servizi per i rifugiati e i migranti ucraini che fuggono dall’aggressione russa. Un’analisi dettagliata dimostra che gli aggressori mirano principalmente a condurre campagne di cyber-spionaggio a lungo termine piuttosto che inseguire guadagni immediati.

La ricerca condotta da Proofpoint sottolinea che gli aggressori utilizzano web bug per distribuire una varietà di ceppi di malware PlugX. La situazione si aggrava a causa del fatto che gli attori TA416 hanno recentemente aggiornato PlugX a una versione di malware più sofisticata cambiando come codifica e aggiungendo nuove capacità di configurazione. Pertanto, i contenuti di rilevamento vecchi per questo malware potrebbero non essere sufficienti.

TA416 PlugX Rilevamento 

I professionisti della sicurezza possono trovare di seguito l’ultima regola di rilevamento basata su Sigma creata dal developer di Threat Bounty di SOC Prime Nattatorn Chuensangarun. Questa regola cattura le nuove varianti di PlugX che sono state recentemente identificate dai ricercatori come nuovo software malevolo più avanzato utilizzato dai famosi attori di phishing cinesi per colpire gli alleati europei. 

TA416 Utilizza Web Bug per PlugX Mirando ai Governi Europei

Accedi al tuo account esistente o registrati sulla piattaforma di Detection as Code di SOC Prime per accedere a questo rilevamento in una gamma dei seguenti formati: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender for Endpoint, FireEye, Carbon Black, LogPoint, Graylog, Regex, Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Qualys e AWS OpenSearch.

Questa regola di rilevamento affronta le tecniche e sub-tecniche MITRE ATT&CK® come Boot or Logon Autostart Execution (T1547) e User Execution: Malicious File (T1204.002).

Per difendere in modo proattivo la tua infrastruttura, scopri il più grande pool di contenuti di rilevamento al mondo nella piattaforma di Detection as Code di SOC Prime, connettendo ricercatori esperti di cybersecurity e sviluppatori di contenuti qualificati da tutto il mondo. Vuoi diventare un contributore di contenuti tu stesso? Unisciti al nostro programma Threat Bounty per inviare i tuoi contenuti di rilevamento e avere la possibilità di ottenere ricompense ricorrenti per il tuo lavoro.

Visualizza Rilevamenti Unisciti a Threat Bounty

Tattiche TA416 Analisi

Il vettore di attacco informatico più recente è stato in linea con la campagna avversaria comune di TA416/Red Delta collettivo APT che praticano almeno dal 2020. Tutto inizia con email di phishing che impersonano organizzazioni diplomatiche europee. Il gruppo APT TA416 ha utilizzato SMTP2Go, un servizio legittimo di email marketing, che consente loro di alterare il campo del mittente della busta. In alternativa, gli attori della minaccia TA416 hanno anche utilizzato email di diplomatici compromessi per distribuire payload di malware a funzionari della NATO alla fine di febbraio 2022, subito dopo l’invasione dell’Ucraina da parte della Russia.

Un URL malevolo incorporato in un’email infetta avvia il download di un file di archivio con un malware dropper al clic. Questo file, a sua volta, scarica quattro componenti:

  • Malware PlugX
  • Caricatore PlugX
  • Caricatore processo DLL
  • File PDF esca

I ricercatori di cybersecurity menzionano che gli attori della minaccia cinesi usano una varietà di versioni di caricatori iniziali, così come payload finali e diverse routine di comunicazione. Ecco perché potrebbe esserci una grande varietà di IOC, mentre i TTP correlati a TA416 non sono molto diversi da quelli che hanno utilizzato dal 2020, il che rende le campagne TA416 più facili da rilevare.

Per evolvere più rapidamente ed efficacemente le capacità di rilevamento delle minacce, le organizzazioni individuali possono sfruttare il potere della difesa informatica collaborativa e arricchire la loro esperienza con le migliori pratiche del settore. Partecipa alla piattaforma di Detection as Code di SOC Prime, la più grande e avanzata piattaforma al mondo per la difesa informatica collaborativa, per restare avanti alle minacce emergenti e potenziare le tue operazioni SOC.

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Accedi alla Funzionalità di Uncoder AI tramite API 2 min di lettura Piattaforma SOC Prime Accedi alla Funzionalità di Uncoder AI tramite API by Steven Edwards Cerca il Mercato delle Rilevazioni delle Minacce con Uncoder AI 2 min di lettura Piattaforma SOC Prime Cerca il Mercato delle Rilevazioni delle Minacce con Uncoder AI by Steven Edwards Tradurre da Sigma in 48 Lingue 2 min di lettura Piattaforma SOC Prime Tradurre da Sigma in 48 Lingue by Steven Edwards
Tutte le notizie