Earth Preta aka Mustang Panda Attack Detection: Abused Fake Google Accounts in Spear-Phishing Campaigns Targeting Governments Worldwide 

悪名高い中国関連のEarth Preta（別名 マスタングパンダ、ブロンズプレジデント、TA416）APTグループは、主にアジア太平洋地域の政府機関を含む複数の業界セクターの世界的な組織を標的としたスピアフィッシング攻撃の波に関連付けられています。サイバーセキュリティ研究者は、脅威のアクターが偽のGoogleアカウントを悪用して、TONEINS、TONESHELLバックドア、PUBLOADを含む異なる種類のマルウェアを拡散したことを観察しました。

Earth Pretaまたはマスタングパンダの最近の対抗活動の検出

Earth Pretaまたはマスタングパンダ、またはブロンズプレジデントとして追跡されている中国関連の脅威のアクターは、2022年3月からサイバー脅威のアリーナの注目を集めており、さまざまな業界セクターの世界的な組織を標的とし、攻撃の範囲を継続的に拡大して攻撃能力を向上させています。中国支援のアクターによる最近のスピアフィッシング攻撃に関連した潜在的な侵入をタイムリーに特定するために、SOC Primeは私たちの熱心なThreat Bounty開発者によって作成された関連するSigmaルールをいくつか最近リリースしました Wirapong Petshagun and Kyaw Pyiyt Htet (Mik0yan)。両方のSigmaルールは、現在進行中のスピアフィッシングキャンペーンで攻撃者によって使用されるDLLサイドローディング技術を検出します。これらの検出は、業界をリードするSIEM、EDR、BDP、およびXDRソリューションと互換性があり、最新の MITRE ATT&CK®フレームワーク v12にマッピングされています。

以下のリンクをフォローして、脅威調査を効率化するための詳細なコンテキストメタデータが充実した専用Sigmaルールに即座にアクセスしてください：

DLLサイドローディング技術による可能性のあるEarth Preta（中国拠点APTグループ）の防御回避（image_load経由）

Wirapong PetshagunによるこのSigmaルールは、主要なATT&CK技術として適用されるハイジャック実行フロー（T1574）と防御回避戦略を対処します。

関連するファイルイベントの検出による不審なマスタングパンダDLLサイドローディングアクティビティ（2022年11月）

Kyaw Pyiyt Htet (Mik0yan)によって開発された上記の検出は、対応するハイジャック実行フロー（T1574）およびユーザー実行（T1204）技術を使用して防御回避および実行戦術を対処します。

共同サイバー防御への貢献を目指す脅威研究者は、 Threat Bountyプログラム の取り組みに参加することが歓迎されます。SigmaおよびATT&CKに支えられた検出コードを書き、業界の仲間と専門知識を共有し、作業の品質と速度に対する報奨金を得る中で検出工学スキルを絶えず向上させましょう。

脅威検出カバレッジのギャップをすべて埋めようとする進歩的な組織は、マルウェア活動を検出するためのEarth PretaまたはマスタングパンダAPT用のSigmaルールの全リストに関心を持つかもしれません。以下のExplore Detectionsボタンをクリックして、25以上のセキュリティ技術に翻訳された関連するSigmaルールにアクセスし、MITRE ATT&CKの参考資料、CTIリンク、緩和策、およびより実行可能なメタデータのような包括的なサイバー脅威コンテキストに飛び込みましょう。

Explore Detections

Earth PretaまたはマスタングパンダAPT：世界中の政府を標的とするスピアフィッシングキャンペーンの分析

サイバー防御者は、政府ネットワークがEarth Preta（別名 マスタングパンダ, ブロンズプレジデント、TA416）として知られる悪名高いハッキンググループによるマルウェア攻撃の可能性があると報告しています。

Trend Micro のサイバーセキュリティ研究者は、中国支援のAPTグループの継続的なキャンペーンを観察しており、スピアフィッシング攻撃ベクトルを使用しています。これらの攻撃では、Earth Pretaのハッカーは偽のGoogleアカウントを悪用して、主にアジア太平洋地域の政府機関や他の組織をターゲットにしたカスタムマルウェアを配信しており、感染チェーンはGoogle Driveリンクを介したアーカイブファイルのダウンロードおよび開封によってトリガーされます。一度開封されると、これらの誘引ファイルは、DLLサイドローディングの敵対技術を介して 被害を受けたシステム上でマルウェアの株を実行します。悪意のあるキャンペーンには、TONEINS、TONESHELL、PUBLOADマルウェアファミリーが関わっており、それが他のペイロードを展開しつつレーダーに映らないようにしています。被害を受けたシステムに侵入した後、盗まれた機密データは他の侵入の入り口ベクトルとして後に活用され、潜在的に被害を受けた組織へのより深刻で影響の大きい攻撃の範囲を拡大します。

マスタングパンダは、中国支持のサイバー諜報APTグループであり、2018年夏にサイバー脅威アリーナに浮上しました。このハッキング集団は、自身のカスタムマルウェアローダーの開発で知られており、PlugXや Cobalt Strike のような人気のある敵対者ツールとともに標的システムを侵害します。2022年3月末、このグループは新しい PlugX RAT の亜種Hodurを、ウクライナの組織やヨーロッパの外交ミッションを標的として活用しました。

このグループは、常に敵対ツールキットを更新し、攻撃能力を進化させ、検出回避のためにより多くのカスタムマルウェアサンプルをアーセナルに追加しているため、サイバー防御者はその悪意のある活動を積極的に捉える準備をするべきです。

緩和策として、組織はフィッシング攻撃からインフラを保護し、マルチレイヤーのメール保護を有効にするために最良のセキュリティプラクティスに従うことを強く推奨します。

キュレーションされたSigmaルールを使用して、現在または新しく出現するAPT攻撃に対抗し続けましょう。APT関連のツールと攻撃のための900以上のルールが手元にあります！200以上が無料で提供されており、オンデマンドで関連するすべての検出コンテンツにアクセスできます。 my.socprime.com/pricing.