MQsTTang Backdoor Detection: New Custom Malware by Mustang Panda APT Actively Used in the Latest Campaign Against Government Entities  

新しい日、新しい悪意のある脅威がサイバーディフェンダーに挑んでいます！ 最近、セキュリティ研究者たちは、Mustang Panda APTによってヨーロッパとアジアの標的に対する現在進行中のキャンペーンで活発に利用されている新しいマルウェアの株を明らかにしました。MQsTTangと名付けられたこの新しいカスタムバックドアは、レーダーの下を通過し、帰属を難しくしながら、攻撃者の関心のある政府および政治団体を攻撃するために一から開発されました。

MQsTTang バックドアの検出

攻撃開発の初期段階で悪意ある活動を見つけ、MQsTTang の感染から組織インフラを事前に防御するために、セキュリティ担当者はSOC Primeのプラットフォームで入手可能な一連のSigmaルールを活用して集合的なサイバー防衛を行います。

Mustang Panda APTグループに関連するDLLを検出することによって観察される[Korplug Loader付き] MQsTTang バックドアの可能性のある挙動（file_event経由）

我々の精鋭Threat Bountyメンバーによって開発された最初のルール Aytek Aytemur は、MQsTTangバックドアに関連する悪意のあるDLLを識別します。この検出は、20以上のSIEM、EDR、およびXDRプラットフォームで適用され、 MITRE ATT&CKフレームワークv12 にマップされ、ExecutionとDefense Evasionの戦術に対応し、それぞれの技術としてUser Execution (T1204) とProcess Injection (T1055) を含みます。

レジストリキーの検出（registry_event経由）によって示される疑わしいMustang Pandaの新しいバックドア[MQsTTang]の挙動

経験豊富なThreat Bounty開発者による2番目のルール Mustafa Gurkan KARAKAYA は、MQsTTangの持続活動をレジストリ キーを追加することで識別します。このルールは、15以上のSIEM、EDR、およびXDRソリューションに対応しています。MITRE ATT&CK v12にマップされ、Modify Registry (T1112) を主な技術とするDefense Evasionの戦術に対応します。

世界の安全に貢献しながら、あなたのディテクションエンジニアリングスキルをマスターしたいですか？ 私たちと共に、クラウドソーシングされたコンテンツ開発の力に参加し、 Threat Bounty Program を通じて、グローバルなサイバーディフェンダーコミュニティが攻撃者に先行できるよう助けてください。ATT&CKをタグ付けした独自のSigmaルールを書き、SOC Primeプラットフォームに公開し、業界の仲間から報酬と認知を得ましょう。

を押して、 検出を探索 ボタンを押下し、Mustang Panda APT集団に関連するツールと攻撃技法を検出するSigmaルールの完全なコレクションに即座にアクセスしましょう。すべての検出アルゴリズムには、対応するATT&CKリファレンス、脅威インテリジェンスリンク、その他の関連メタデータが付随しています。

検出を探索

MQsTTang バックドア分析

Mustang Panda APT （別名TA416、Bronze President）は、中国起源のAPT集団であり、その PlugXマルウェア ファミリーは頻繁にデータダンプ作戦で使用されています。

最新の ESETによる調査 は、少なくとも2023年1月以降、悪意あるアリーナで出回っている新しいバックドアの存在を明らかにしています。この新しい脅威は、一から開発されたもので、古いサンプルとのコードの重複がないため、敵対者は新しい悪意のある作戦を通じて容易にセキュリティ保護をすり抜けることができます。

初のMQsTTangキャンペーンは2023年初頭に開始され、現在もヨーロッパおよびアジアの政府および外交機関を狙っています。攻撃のキルチェーンは通常、フィッシングメールで悪意のあるペイロードをドロップすることで始まります。実行可能ファイルは、外交任務のメンバーのパスポートスキャン、あるいは大使館のメモなどを装ったRARアーカイブ形式で配布されます。

一度実行されると、マルウェアは自らのコピーを作成し、コマンドライン引数を使用してコマンド・アンド・コントロール（C2）通信の開始、持続の確保など、さまざまな悪意のあるタスクを実行します。

注目すべきことに、MQsTTangはC2通信にMQTTプロトコルを使用しています。このようなアプローチにより、C2のテイクダウンへの耐性を確保し、仲介者を経由したすべての通信により敵対者のインフラを偽装します。また、MQTTの利用により、セキュリティ実践者が一般的なC2プロトコルを調査する際に、検出を回避することができます。

キュレーションされたSigmaルールで、現在または新たに出現するAPT攻撃に対抗して先手を打ちましょう。APT関連ツールおよび攻撃に関する900以上のルールを即座に手に入れましょう！ 無料で200以上取得するか、「オンデマンド」で関連するすべての検出コンテンツにアクセスを得ましょう。 my.socprime.com/pricing.