Detecção de Ataque APT do Earth Preta: APT Ligado à China Ataca Ásia com Malware DOPLUGS, uma Nova Variante do PlugX
Índice:
O nefasto China-backed Earth Preta APT também conhecido como Mustang Panda tem como alvo países asiáticos na campanha adversária duradoura, que aplicou uma iteração avançada do malware PlugX apelidado DOPLUGS.
Detectando Ataques Earth Preta Usando Malware DOPLUGS
O ano de 2023 tem sido marcado pela crescente atividade de coletivos APT refletindo a influência das tensões geopolíticas existentes no domínio cibernético. Desta vez, especialistas em segurança relatam que o Earth Prera APT, afiliado à China, voltou sua atenção para a região Ásia-Pacífico, além de países europeus. Para detectar intrusões potenciais nos estágios iniciais de desenvolvimento e resistir a ataques crescentes, os defensores cibernéticos precisam de soluções inovadoras de detecção de ameaças e caça.
A Plataforma SOC Prime agrega um conjunto de algoritmos de detecção selecionados acompanhados por ferramentas avançadas de cibersegurança para agilizar a investigação de caça a ameaças e permitir uma defesa cibernética proativa. Clique no Explorar Detecções botão abaixo para explorar a lista de regras Sigma para a última campanha SMUGX do Earth Preta.
Todas as regras são compatíveis com 28 soluções SIEM, EDR, XDR e Data Lake e mapeadas para o framework MITRE ATT&CK v14.1. Além disso, as detecções são enriquecidas com metadados relevantes, incluindo cronologias de ataques, referências CTI, recomendações de triagem e mais.
Além disso, os profissionais de segurança podem explorar uma regra Sigma relacionada abaixo que ajuda a identificar o comportamento da campanha SMUGX relacionado a diretórios associados.
Para mergulhar nos TTPs Earth Preta e explorar a pilha de detecção relacionada, os profissionais de segurança podem seguir este link para mais informações. Além disso, usando este link, os defensores cibernéticos podem encontrar regras úteis para identificar ataques PlugX.
Análise de Ataque Earth Preta aka Mustang Panda: Visão Geral da Campanha Utilizando DOPLUGS
No meio do verão de 2023, pesquisadores da Check Point descobriram uma nova campanha adversária SMUGX alvejando países europeus que estava ligada à atividade maliciosa do Earth Preta (também conhecido como Mustang Panda ou Bronze President).
Pesquisadores da Trend Micro revelaram ainda mais uma tentativa de phishing direcionada a um órgão estatal taiwanês contendo uma variante maliciosa personalizada do PlugX, que era idêntica às amostras de malware usadas nos ataques SMUGX contra a Europa. Aconteceu que a campanha persistente SMUGX abrangia não apenas a Europa, mas também Taiwan e Vietnã como alvos principais, além da China, Japão, Malásia e outros países asiáticos.
A amostra revelada do malware PlugX personalizado, que tem estado em destaque desde 2022, era diferente do variantes comuns do PlugX também conhecido como Korplug que alavancaram um módulo de comando backdoor completo. A iteração atualizada do PlugX foi chamada DOPLUGS e empregou um worm USB conhecido como o módulo KillSomeOne.
PlugX é um notório RAT atribuído aos kits de ferramentas ofensivas de vários coletivos de hackers, incluindo Mustang Panda. O grupo tem sido observado usando o PlugX como uma de suas ferramentas básicas em operações cibernéticas. Mustang Panda APT tem estado ativo desde pelo menos 2012, embora suas atividades tenham ganhado mais destaque e se tornaram conhecidas na comunidade de cibersegurança por volta de 2017. Além do PlugX, o grupo também utiliza tanto software legítimo quanto malicioso, como Cobalt Strike, China Chopper, ORat, entre outras ferramentas. O grupo tem como alvo principal entidades na região da Ásia-Pacífico e Europa, particularmente organizações relacionadas ao setor público, junto com as verticais da indústria militar, financeira e de tecnologia.
Na última campanha duradoura, os atores do Earth Preta aproveitam uma variante avançada do PlugX, DOPLUGS, que é um downloader nocivo desenvolvido para facilitar a instalação e execução de cargas maliciosas, incluindo o malware PlugX. Desde 2018, o Earth Preta revisa consistentemente os conjuntos de comandos backdoor dentro do PlugX, passando por pelo menos quatro gerações de amostras de malware. Por exemplo, no final de março de 2022, o Mustang Panda implantou uma nova variante do PlugX RAT chamado Hodur, visando organizações ucranianas e missões diplomáticas em toda a Europa.
A última iteração do DOPLUGS aplica uma nova tática explorando um aplicativo legítimo da Adobe para atrair as vítimas, com a maioria das amostras originando-se do Vietnã, de acordo com dados do VirusTotal. Nesta campanha, típica do comportamento adversário do grupo, o Earth Preta APT emprega e-mails spear-phishing para acesso inicial e aproveita links do Google Drive com um arquivo protegido por senha projetado para baixar o malware DOPLUGS nos sistemas comprometidos.
À medida que o grupo continua ativo na Europa e na Ásia, é crucial para os defensores aumentarem a conscientização e permanecerem vigilantes para se proteger contra ataques do Earth Preta de qualquer escala e sofisticação. Comece com Uncoder IO para ajudá-lo a escrever códigos de detecção para ameaças emergentes mais rapidamente, traduzir em várias linguagens SIEM, EDR e Data Lake de forma automatizada e converter instantaneamente inteligência de ameaças em consultas IOC personalizadas para uma caça IOC retrospectiva simplificada.
