Detectar o Trojan PlugX Disfarçado como uma Ferramenta de Depuração do Windows Legítima para Passar Despercebido

[post-views]
Março 02, 2023 · 4 min de leitura
Detectar o Trojan PlugX Disfarçado como uma Ferramenta de Depuração do Windows Legítima para Passar Despercebido

Cachorro velho, truques novos! Pesquisadores de segurança revelaram PlugX Trojan de acesso remoto (RAT) está se disfarçando como uma ferramenta popular de debugger de código aberto do Windows chamada x65dbg. Dependendo do carregamento lateral de DLL para este truque de disfarce, o nefasto RAT consegue escapar dos controles de segurança e ganhar controle total sobre a instância alvo. 

Detecção do Trojan PlugX de Acesso Remoto

O Trojan PlugX, que tem sido ativamente utilizado em ataques cibernéticos por mais de uma década, sendo principalmente popular entre coletivos de hackers chineses, ressurge na arena de ameaças cibernéticas. Defensores preocupados alertam organizações sobre uma variante nova do PlugX tentando passar despercebida ao falsificar aplicativos legítimos. A Plataforma de Detecção como Código da SOC Prime permite que as equipes de segurança detectem proativamente ameaças atuais e emergentes de qualquer escala e sofisticação, incluindo amostras de malware novas. Para ajudar organizações a identificarem em tempo hábil a infecção pelo Trojan PlugX em sua infraestrutura, a Plataforma SOC Prime lançou recentemente uma nova regra Sigma escrita por nosso atento desenvolvedor Threat Bounty, Emre Ay:

Possível Atividade do Trojan PlugX por Detecção de Comandos Associados (via process_creation)

Esta regra Sigma detecta a atividade do Trojan PlugX relacionada à execução do malware através do método comum de adversário conhecido como rundll32, o que possibilita a evasão de defesa. A detecção pode ser aplicada em mais de 20 plataformas SIEM, EDR e XDR e está mapeada para o framework MITRE ATT&CK v12 abordando a tática de Evasão de Defesa com a técnica Proxies de Binários do Sistema (T1218) como sua técnica principal.

Caçadores de Ameaças e Engenheiros de Detecção que se esforçam para contribuir com a inteligência coletiva são bem-vindos às fileiras dos desenvolvedores do Threat Bounty Program. Ao criar e compartilhar conteúdo de detecção com a comunidade de defensores cibernéticos impulsionada por pares, aspirantes a entusiastas de segurança podem dominar suas habilidades Sigma e MITRE ATT&CK, codificar seu currículo e se avançar na Engenharia de Detecção enquanto ganham benefícios financeiros por suas contribuições. 

Clique no Explore Detections botão abaixo para explorar instantaneamente toda a lista de regras Sigma para detecção de PlugX, relacionadas tanto ao ataque cibernético atual quanto a campanhas maliciosas anteriores utilizando amostras infames do Trojan. Todas as regras Sigma são enriquecidas com inteligência de ameaças cibernéticas relevante para agilizar a investigação e fornecer um contexto abrangente dos padrões de comportamentais dos ataques e adversários. 

Explore Detections

Analisando as Últimas Campanhas do Trojan PlugX

PlugX (também conhecido como Korplug, Hodur e RedDelta) apareceu pela primeira vez na arena maliciosa por volta de 2008 sendo utilizado por criminosos como uma porta traseira para obter controle total sobre os sistemas alvo. Inicialmente, a família de malware foi usada por coletivos de APT apoiados pela China explicitamente. No entanto, mais tarde, múltiplos atores ao redor do mundo adotaram o RAT PlugX para suas operações maliciosas. 

Nos ataques mais recentes, os hackers falsificaram a versão de 32 bits de uma ferramenta de depuração do Windows conhecida como x64dbg.exe.  PlugX RAT utilizou uma técnica maliciosa chamada carregamento lateral de DLL para soltar um payload após sequestrar o aplicativo legítimo confiável. O debugger x64dbg foi envenenado com um x32bridge.dll that loads the PlugX as x32bridge.dat.

Inicialmente, a versão sequestrada do x64dbg foi revelada pelos especialistas do Unit 42 em janeiro de 2023, enquanto analisavam a nova versão do PlugX que dependeu de drives USB removíveis para infectar outras máquinas Windows na rede alvo. A persistência, neste caso, é alcançada através de modificações no Registro do Windows e na criação de tarefas agendadas garantindo operação contínua independente da reinicialização da máquina. Uma análise adicional análise pela Trend Micro identificou a aplicação de x32bridge.exe para soltar uma porta traseira juntamente com um cliente de shell UDP usado para colher informações do sistema. 

Não há uma solução única quando se trata de ameaças de segurança modernas. Com a evolução contínua das técnicas de hacking, os defensores cibernéticos exigem soluções confiáveis para identificar ameaças em tempo hábil antes que os adversários instalem mecanismos de persistência, roubem dados ou injetem cargas. Confie em https://socprime.com/ para superar e superar os agentes de ameaça tendo mais de 10K regras Sigma sempre à mão.

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Detecção do Malware Koske: Nova Ameaça Linux Gerada por IA em Atividade 7 min de leitura Ameaças Mais Recentes Detecção do Malware Koske: Nova Ameaça Linux Gerada por IA em Atividade by Veronika Telychko Inteligência de Ameaças com IA 17 min de leitura SIEM & EDR Inteligência de Ameaças com IA by Veronika Telychko CyberLock, Lucky_Gh0$t e Detecção de Numero: Hackers Armem Instaladores Falsos de Ferramentas de IA em Ataques de Ransomware e Malware 8 min de leitura Ameaças Mais Recentes CyberLock, Lucky_Gh0$t e Detecção de Numero: Hackers Armem Instaladores Falsos de Ferramentas de IA em Ataques de Ransomware e Malware by Veronika Telychko
Todas as notícias