PlugX マルウェア検出：Bronze President 犯罪リングが最新の犯罪波でポストエクスプロイトモジュラRATを使用

中国政府が支援する犯罪組織「ブロンズプレジデント」は、ヨーロッパ、中東、南アメリカの政府関係者を対象にしたキャンペーンを展開し、 PlugX マルウェア を利用しています。これは中国のハッカー集団の間で人気のバックドアです。

研究者によると、この脅威グループの主な目的はスパイ活動です。

PlugX マルウェアを検出する

SOC Primeは、SOCオペレーションの加速のために、脅威ハンティングとサイバー脅威インテリジェンスを提供し、その利点を活用しています。 コード駆動型アプローチ でスケーラブルかつ効果的なセキュリティ実践を行います。SOC PrimeのThreat Bounty開発者によってリリースされた以下のSigmaベースのルールは、 Wirapong Petshagun and Zaw Min Htun (ZETA) セキュリティプロフェッショナルがシステムがPlugXマルウェアにさらされたかどうかを検出するのを助けます：

レジストリイベントを介した中国政府支援BRONZE PRESIDENTのPlugXアクティビティの検出の可能性

DLLファイル（image_load経由）のロードを検出することでPlugX RATローダーの実行の可能性

これらの検出は、26+のSIEM、EDR、およびXDRプラットフォームと一致しており、 MITRE ATT&CK®フレームワーク v.10に整合しています。

このキャンペーンに関連する新しいSOCコンテンツアイテムを見逃さないよう、今後のリリースにご注目ください。「 検出を探索する 」ボタンをクリックすると、即時アクセスが得られます。

検出を探索する  

PlugXマルウェア分析

ブロンズプレジデント犯罪ハッカーグループ、別名マスタングパンダ、HoneyMyte、Red Lich、Temp.Hex.、TA416、RedDelta は、2018年以降、広範な業界分野における企業を侵害するために、クローズドおよびオープンソースの悪意のあるソフトウェアを使用しています。脅威アクターが使用するツールの中には、 Cobalt Strike、China Chopper、ORat、RCSessionのような正当かつ悪意のあるソフトウェアがあります。

このクラスターのモードオペランディは、単に中国政府によって許容されているか、または任務を与えられている可能性があることを示唆します。

2022年春、 ESET の脅威アナリストによって、ブロンズプレジデントによって行われたサイバースパイ活動キャンペーンに関する詳細なレポートが公開されました。この脅威グループは、東南アジア、ヨーロッパ、およびアフリカでの攻撃で、 Hodur とタグ付けされたPlugXバージョンの1つを使用し、スピアフィッシングキャンペーンで広めました。

最も最近の キャンペーン は、マルウェアを配布するためのRARアーカイブファイルの導入が特徴です。武器化されたRARファイルを開くと、文書のように見えるWindowsショートカット（LNK）ファイルが表示されます。この「ファイル」をクリックするとマルウェアが実行されます。攻撃は2022年6月と7月に記録されました。

現代のセキュリティ脅威に対する万能薬はありません。SOCの専門家は、攻撃者が持続性メカニズムをセットアップしたり、データを盗んだり、ペイロードを注入したりする前に、タイムリーに脅威を識別するために設計された最高のソリューションを必要としています。新たな脅威に先んじ、SOCオペレーションを強化するために、 Threat Detection Marketplaceのサブスクリプションをご利用ください。TDMは、25の市場をリードするSIEM、EDR、およびXDR技術に合わせて設計された、クロスベンダーおよびクロスツールのSOCコンテンツのワンストップショップです。コンテンツは継続的に追加の脅威コンテキストで強化され、影響、効率性、誤検知および他の運用上の考慮事項について一連の品質保証監査を通じて確認されています。