Earth Preta APT攻撃検出：中国と関連するAPTがDOPLUGSマルウェア、新しいPlugX亜種でアジアを攻撃

中国が支援する悪名高い Earth Preta APT、またはMustang Pandaとしても知られる は、アジア諸国を標的とする長期的な攻撃キャンペーンを展開しており、進化したバージョンの PlugXマルウェア DOPLUGSと呼ばれるものを適用しました。

DOPLUGSマルウェアを使用したEarth Preta攻撃の検出

2023年は、既存の地政学的緊張がサイバー分野に及ぼす影響を反映するAPTグループによる活動の激化が特徴となっています。今回、セキュリティ専門家は、ヨーロッパ諸国のほかに、アジア太平洋地域を視野に入れた中国に関連するEarth Preta APTの活動を報告しています。サイバー防衛者は、開発の初期段階で潜在的な侵入を検出し、エスカレートする攻撃に耐えるために革新的な脅威検出とハンティングソリューションを必要としています。

SOC Primeプラットフォームは、検出アルゴリズムのセットをキュレーションし、脅威ハンティングの調査を効率化し、積極的なサイバー防衛を可能にする高度なサイバーセキュリティツールを提供します。ボタンをクリックして 探すことができます 以下のボタンを押して、Earth Pretaの最新のSMUGXキャンペーンのSigmaルールのリストを探索してください。

探すことができます

すべてのルールは28のSIEM、EDR、XDR、データレイクソリューションと互換性があり、 MITRE ATT&CKフレームワークv14.1にマッピングされています。さらに、攻撃タイムライン、CTI参照、トリアージ推奨などの関連メタデータで検出が強化されています。

さらに、セキュリティ専門家は以下の関連Sigmaルールを探索して、関連ディレクトリのSMUGXキャンペーン行動を特定する手助けを得ることができます。

関連ファイルを検出することによるRedDeltaとMustang Pandaに関連するSMUGXキャンペーン（file_eventを介して）

Earth PretaのTTPに深く入り、関連する検出スタックを探索するには、セキュリティ専門家は こちらのリンク を参照して詳しい情報を得ることができます。また、 こちらのリンクを使用して、サイバー防衛者はPlugX攻撃を特定するための有用なルールを見つけることができます。

Earth Preta別名Mustang Panda攻撃分析: DOPLUGSを活用したキャンペーンの概要

2023年夏の中頃、 Check Pointの研究者 は新しい SMUGX攻撃キャンペーン を発見し、これがEarth Preta（別名Mustang Pandaまたは Bronze President）の悪意のある活動に関連することを明らかにしました。

Trend Microの研究者 はさらに、台湾の公式機関をターゲットにしたフィッシングメールを発見し、そこにはSMUGX攻撃でヨーロッパを標的にしたものと同一のPlugXマルウェアのカスタムストレインが含まれていました。結果として、SMUGXキャンペーンはヨーロッパだけでなく、台湾やベトナムも主なターゲットにしており、中国、日本、マレーシア、その他アジア諸国も含まれていました。

2022年以来注目されているカスタムPlugXマルウェアのサンプルは、 通称Korplugとして知られる一般的なPlugXバリアント とは異なり、完全なバックドアコマンドモジュールを活用していました。アップグレードされたPlugXのバージョンはDOPLUGSと名付けられ、KillSomeOneモジュールとして知られるUSBワームが使用されていました。

PlugX は、多くのハッキングコレクティブの攻撃ツールキットに含まれる悪名高いRATであり、Mustang Pandaを含むグループがPlugXをサイバー作戦における主要なツールの一つとして使用していることが観察されています。Mustang Panda APTは少なくとも2012年以来活動を続けており、その活動は2017年頃からサイバーセキュリティコミュニティでより注目されるようになりました。PlugXに加えて、このグループは Cobalt Strike、China Chopper、ORatなどの合法的および悪意のあるソフトウェアも活用しています。このグループは主にアジア太平洋地域とヨーロッパの公共セクター、軍事、金融、技術産業の分野に関連する組織を標的にしています。

最新の長期キャンペーンでは、Earth Pretaアクターは高度なPlugXバリアントDOPLUGSを利用し、悪意のあるペイロードのインストールと実行を容易にする有害なダウンローダーとして設計されています。2018年以来、Earth PretaはPlugXのバックドアコマンドセットを継続的に改訂しており、少なくとも4世代のマルウェアサンプルを通じて進化を遂げています。例えば、2022年3月末には、Mustang Pandaは Hodurと呼ばれるPlugX RATの新しいバリアントを展開し、ヨーロッパ全域でウクライナの組織や外交使節団を標的にしました。

最新のDOPLUGSバージョン は正当なAdobeアプリケーションを悪用して被害者を引きつける新たな戦術を適用しており、VirusTotalデータによれば、そのサンプルの多くはベトナムから発信されています。このキャンペーンでは、グループの典型的な攻撃行動として、Earth Preta APTがスピアフィッシングメールを初期アクセスに使用し、DOPLUGSマルウェアを侵害されたシステムにダウンロードするように設計されたパスワード保護されたアーカイブが含まれたGoogle Driveリンクを利用しています。

このグループがヨーロッパとアジアで活動を続ける中、防御側は警戒を強化し、あらゆる規模と洗練を超えるEarth Preta攻撃から保護することが重要です。 Uncoder IO を使用すると、新たな脅威に対する検出コードの作成を迅速化し、それを複数のSIEM、EDR、データレイク言語に自動で翻訳し、カスタムIOCクエリに瞬時に変換してストリームライン化されたレトロスペクティブIOCハンティングを可能にします。