PlugXマルウェアを使用する中国系APTアクターTA416が、ウクライナ難民サービスを麻痺させるために欧州の同盟国を標的に

[post-views]
3月 11, 2022 · 6 分で読めます
PlugXマルウェアを使用する中国系APTアクターTA416が、ウクライナ難民サービスを麻痺させるために欧州の同盟国を標的に

中国政府が支援するAPTグループ TA416(別名:Mustang Panda/Red Delta) は、ロシアの侵略から逃れるウクライナの難民や移民にサービスを提供する欧州政府機関や外交団体を標的にしていることが判明しています。詳細な分析によれば、攻撃者は主に長期間の サイバー・エスピオナージ キャンペーンの実施を目的としており、即時の利益を追求しているわけではありません。

によって行われた研究では、 Proofpoint が強調しているのは、攻撃者がウェブバグを利用して様々なPlugXのマルウェアの亜種を配信している点です。この状況は、TA416のアクターがPlugXをより洗練されたマルウェアバージョンにアップグレードし、エンコードの方法を変更し新しい設定機能を追加したため、悪化しています。従って、このマルウェアに対する旧来の検出コンテンツは十分ではないかもしれません。

TA416 PlugX 検出

下記には、SOC PrimeのThreat Bounty開発者、Nattatorn Chuensangarunによって作成された最新のシグマベースの検出ルールがあります。このルールは、研究者たちによって新たに確認された、より高度な悪意のある新しいソフトウェアとして利用されているPlugXの新しい亜種を捕捉します。 中国のフィッシングアクターが欧州の同盟国を標的にする

TA416が欧州政府を標的にするためにウェブバグとPlugXを利用

既存のアカウントにログインするか、SOC PrimeのDetection as Codeプラットフォームにサインアップして、Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender for Endpoint, FireEye, Carbon Black, LogPoint, Graylog, Regex, Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Qualys, AWS OpenSearchの各形式でこの検出にアクセスしてください。

この検出ルールはMITRE ATT&CK® のテクニックやサブテクニックである、ブートまたはログオンの自動開始実行(T1547)とユーザー実行: 悪意のあるファイル(T1204.002)に対処しています。

インフラを積極的に守るために、世界中の熟練したサイバーセキュリティ研究者と優れたコンテンツ開発者を結びつけるSOC PrimeのDetection as Codeプラットフォームで、世界最大の検出コンテンツプールを発見してください。コンテンツ貢献者になることを目指しますか?Threat Bounty Programに参加して、検出コンテンツを提出し、作業に対する継続的な報酬を得るチャンスを手にしてください。

検出を表示 Threat Bountyに参加

TA416の戦術 分析

最新のサイバー攻撃ベクトルは、 TA416/Red Delta APT集団の共通の敵対者キャンペーンと一致しており、 彼らは少なくとも2020年以来練習しています。すべては、欧州の外交機関を騙るフィッシングメールから始まります。 TA416 APTグループはSMTP2Goを使用しました、正当なメールマーケティングサービスで、これにより、エンベロープ送信者フィールドを変更することができます。あるいは、 TA416脅威アクター は、また、ウクライナの侵略直後の2022年2月末に、NATOの担当者にマルウェアペイロードを送信するために、侵入された外交官のメールを使用しました。

感染したメールに埋め込まれた悪意のあるURLは、クリック時にマルウェアドロッパーを含むアーカイブファイルのダウンロードを開始します。このファイルは、次に4つのコンポーネントをダウンロードします:

  • PlugXマルウェア
  • PlugXローダー
  • DLLプロセスローダー
  • PDFデコイファイル

サイバーセキュリティ研究者は 中国の脅威アクター が初期ローダーや最終ペイロードのバラエティや異なる通信ルーチンを使用していることを述べています。そのため、IOCの種類が豊富である可能性があり、TTPは TA416に関連しているものもありますが、2020年以来のものと大差がないため、 are not much different from the ones they’ve been leveraging since 2020, which makes TA416キャンペーン は検出しやすいです。

脅威検出能力をより迅速かつ効率的に進化させるためには、個々の組織が協力的なサイバー防御の力を活用し、業界のベストプラクティスで専門知識を豊かにすることができます。 SOC PrimeのDetection as Codeプラットフォームに参加し、 世界最大で最も先進的な 協力的なサイバー防御のためのプラットフォームで先を行き、潜在的な脅威に先んじた対応でSOC操作を充実させましょう。

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

APIを通じたUncoder AI機能へのアクセス 2 分で読めます SOCプライムプラットフォーム APIを通じたUncoder AI機能へのアクセス by Steven Edwards Uncoder AIの脅威検出マーケットプレイスを検索する 3 分で読めます SOCプライムプラットフォーム Uncoder AIの脅威検出マーケットプレイスを検索する by Steven Edwards Sigmaから48の言語に翻訳する 3 分で読めます SOCプライムプラットフォーム Sigmaから48の言語に翻訳する by Steven Edwards
すべてのニュース