Detecção do Ataque Earth Preta aka Mustang Panda: Contas Falsas do Google Abusadas em Campanhas de Spear-Phishing que Visam Governos em Todo o Mundo
Índice:
O infame Earth Preta ligado à China (também conhecido como Mustang Panda, Bronze President, TA416) grupo APT foi vinculado a uma onda de ataques de spear-phishing contra organizações globais em múltiplos setores de indústria, incluindo instituições governamentais, principalmente nas regiões da Ásia-Pacífico. Pesquisadores de cibersegurança observaram que atores da ameaça abusaram de contas falsas do Google para espalhar diferentes variedades de malware, incluindo backdoors TONEINS, TONESHELL e PUBLOAD.
Detectar Atividade Recente do Adversário Earth Preta também conhecido como Mustang Panda
Atores da ameaça ligados à China rastreados como Earth Preta também conhecido como Mustang Panda, ou Bronze President, têm estado em destaque no cenário de ameaças cibernéticas desde março de 2022, visando organizações globais em múltiplos setores de indústria e expandindo continuamente seu escopo de ataques e aprimorando suas capacidades ofensivas. Para ajudar as organizações a identificar a tempo possíveis intrusões associadas aos recentes ataques de spear-phishing pelos agentes apoiados pela China, a SOC Prime lançou recentemente algumas regras Sigma relevantes criadas por nossos atentos desenvolvedores do Threat Bounty. Wirapong Petshagun and Kyaw Pyiyt Htet (Mik0yan). Ambas as regras Sigma detectam o uso da técnica de carregamento lateral de DLL usada por atacantes em campanhas de spear-phishing em andamento. As detecções são compatíveis com as principais soluções SIEM, EDR, BDP e XDR do mercado e estão mapeadas para o mais recente framework MITRE ATT&CK® v12.
Siga os links abaixo para acessar instantaneamente as regras Sigma dedicadas enriquecidas com metadados contextuais aprofundados para uma investigação de ameaças otimizada:
Esta regra Sigma de Wirapong Petshagun aborda a tática de Evasão de Defesa com Execução de Fluxo Sequestrada (T1574) aplicada como técnica principal do ATT&CK.
A detecção mencionada acima, desenvolvida por Kyaw Pyiyt Htet (Mik0yan), aborda as táticas de Evasão de Defesa e Execução com as correspondentes técnicas de Execução de Fluxo Sequestrada (T1574) e Execução do Usuário (T1204).
Pesquisadores de ameaças aspirantes procurando maneiras de contribuir para a defesa cibernética coletiva são bem-vindos para se juntar às fileiras do Threat Bounty Program iniciativa de crowdsourcing. Escreva código de detecção com suporte em Sigma e ATT&CK, compartilhe sua expertise com colegas do setor e receba recompensas pela qualidade e velocidade do seu trabalho enquanto constantemente melhora suas habilidades em Engenharia de Detecção.
Organizações progressistas que buscam preencher todas as lacunas em sua cobertura de detecção de ameaças podem se interessar por toda a lista de regras Sigma para detectar a atividade maliciosa do Earth Preta também conhecido como Mustang Panda APT. Clique no botão Explorar Detecções abaixo para acessar regras Sigma relevantes junto com traduções para mais de 25 tecnologias de segurança e mergulhar em um contexto abrangente de ameaças cibernéticas, como referências MITRE ATT&CK, links CTI, mitigações e mais metadados acionáveis.
Earth Preta também conhecido como Mustang Panda APT: Análise de Campanhas de Spear-Phishing Alvejando Governos Mundialmente
Defensores cibernéticos relataram que redes governamentais estão potencialmente sob ataque de malware pelo notório coletivo de hackers conhecido como Earth Preta (também conhecido como Mustang Panda, Bronze President, TA416).
Trend Micro pesquisadores de cibersegurança observaram as campanhas em andamento do grupo APT apoiado pela China usando o vetor de ataque de spear-phishing. Nesses ataques, hackers do Earth Preta abusaram de contas falsas do Google para entregar malware personalizado que visa principalmente entidades governamentais e outras organizações na região da Ásia-Pacífico desde março. A cadeia de infecção é acionada ao baixar e abrir os arquivos de arquivos distribuídos via links do Google Drive. Uma vez abertos, esses arquivos de isca levam à execução de variantes de malware nos sistemas comprometidos via técnica adversária de carregamento lateral de DLL. A campanha maliciosa envolve a disseminação das famílias de malware TONEINS, TONESHELL e PUBLOAD, que, por sua vez, podem implantar outras cargas enquanto permanecem fora do radar. Após a infiltração nos sistemas comprometidos, os dados sensíveis roubados podem ser posteriormente utilizados como vetor de entrada para outras intrusões, o que representa uma ameaça mais séria para organizações potencialmente comprometidas e amplia o escopo e impacto dos ataques.
Mustang Panda é um grupo APT de ciberespionagem apoiado pela China, que emergiu no cenário de ameaças cibernéticas no verão de 2018. O coletivo de hackers é conhecido pelo desenvolvimento de seus próprios carregadores maliciosos personalizados em conjunto com ferramentas adversárias populares como PlugX e Cobalt Strike para comprometer sistemas-alvo. No final de março de 2022, o grupo utilizou uma nova variável PlugX RAT apelidada de Hodur, mirando organizações ucranianas e missões diplomáticas europeias.
Como o grupo está constantemente atualizando seu kit de ferramentas adversário, avançando capacidades ofensivas e adicionando mais amostras de malware personalizadas ao seu arsenal para evasão de detecção, os defensores cibernéticos devem estar preparados para detectar de forma proativa sua atividade maliciosa.
Como medidas de mitigação, recomenda-se fortemente que as organizações sigam as melhores práticas de segurança para proteger sua infraestrutura contra ataques de phishing e ativem proteção de email em múltiplas camadas.
Fique à frente dos adversários com regras Sigma curadas contra qualquer ataque APT atual ou emergente. 900+ regras para ferramentas e ataques relacionados a APT estão ao seu alcance! Obtenha 200+ gratuitamente ou acesse todo o conteúdo de detecção relevante sob demanda em my.socprime.com/pricing.
