Detecção de Backdoor MQsTTang: Novo Malware Personalizado pelo Mustang Panda APT Usado Ativamente na Última Campanha Contra Entidades Governamentais

Novo dia, nova ameaça maliciosa desafiando os defensores cibernéticos! Recentemente, pesquisadores de segurança revelaram uma nova cepa de malware sendo ativamente utilizada pelo APT Mustang Panda em sua campanha contínua contra alvos na Europa e Ásia. Batizada de MQsTTang, a nova backdoor personalizada foi desenvolvida do zero para passar despercebida e dificultar a atribuição enquanto ataca entidades governamentais e políticas do interesse dos atacantes.

Detecção de Backdoor MQsTTang

Para identificar a atividade maliciosa nos estágios iniciais do desenvolvimento do ataque e defender proativamente a infraestrutura organizacional de infecções potenciais por MQsTTang, os profissionais de segurança podem usar um conjunto de regras Sigma disponíveis na Plataforma da SOC Prime para defesa cibernética coletiva.

Possível Comportamento de Backdoor MQsTTang [com Carregador Korplug] Associado ao Grupo APT Mustang Panda por Detecção de DLLs Associadas (via file_event)

A primeira regra desenvolvida por nosso atento membro do Threat Bounty Aytek Aytemur identifica DLLs maliciosas relacionadas à backdoor MQsTTang. A detecção pode ser aplicada em mais de 20 plataformas SIEM, EDR e XDR e está mapeada para o MITRE ATT&CK framework v12 abordando táticas de Execução e Evasão de Defesa, com User Execution (T1204) e Process Injection (T1055) como técnicas correspondentes.

Comportamento Suspeito da Nova Backdoor do Mustang Panda [MQsTTang] por Detecção de Chave de Registro Associada (via registry_event)

A segunda regra, criada por um experiente desenvolvedor do Threat Bounty Mustafa Gurkan KARAKAYA identifica atividades de persistência do MQsTTang por meio da adição de uma chave de registro. A regra é compatível com mais de 15 soluções SIEM, EDR e XDR e mapeada para o MITRE ATT&CK v12 abordando a tática de Evasão de Defesa com Modify Registry (T1112) como técnica principal.

Deseja aperfeiçoar suas habilidades de engenharia de detecção enquanto contribui para a segurança mundial? Junte-se às forças do desenvolvimento de conteúdo colaborativo através do Programa Threat Bounty para ajudar a comunidade global de defensores cibernéticos a ficar um passo à frente dos atacantes. Escreva suas próprias regras Sigma marcadas com ATT&CK, publique-as na Plataforma SOC Prime e ganhe dinheiro e reconhecimento de seus colegas de indústria.

Pressione o botão Explorar Detecções abaixo e veja imediatamente a coleção completa de regras Sigma para detectar ferramentas e técnicas de ataque associadas ao coletivo Mustang Panda APT. Todos os algoritmos de detecção são acompanhados pelas referências ATT&CK correspondentes, links de inteligência de ameaças e outros metadados relevantes.

Explorar Detecções

Análise do Backdoor MQsTTang

O APT Mustang Panda (também conhecido como TA416, Bronze President) é um coletivo APT de origem chinesa bem conhecido por sua família de malwares PlugX frequentemente usada em operações de extração de dados.

A mais recente investigação da ESET revela a presença de uma nova backdoor circulando na arena maliciosa desde pelo menos janeiro de 2023. A nova ameaça parece ter sido desenvolvida do zero, sem sobreposição de código com amostras mais antigas, permitindo que os adversários escapem facilmente das proteções de segurança durante novas operações maliciosas.

A primeira campanha MQsTTang foi lançada no início de 2023 e ainda está em andamento, tendo como alvo entidades governamentais e diplomáticas por toda a Europa e Ásia. A cadeia de ataques geralmente começa com um e-mail de phishing que espalha uma carga maliciosa. Executáveis são entregues na forma de arquivos RAR disfarçados como digitalizações de passaportes de membros de missões diplomáticas, notas de embaixada ou iscas semelhantes.

Uma vez executado, o malware cria uma cópia de si mesmo com um argumento de linha de comando que executa uma variedade de tarefas maliciosas, como iniciar comunicações de controle e comando (C2), garantir persistência, etc.

Notavelmente, MQsTTang depende do protocolo MQTT para comunicações C2. Essa abordagem garante resiliência contra a interrupção de C2 e disfarça a infraestrutura dos adversários ao rotear todas as comunicações através de um intermediário. Além disso, o uso do MQTT permite que os atacantes evitem a detecção, pois os praticantes de segurança tendem a procurar por protocolos C2 mais comuns ao investigar incidentes.

Fique à frente dos adversários com regras Sigma curadas contra quaisquer ataques APT emergentes ou existentes. Mais de 900 regras para ferramentas e ataques relacionados a APT estão à sua disposição! Obtenha mais de 200 gratuitamente ou acesse todo o conteúdo de detecção relevante sob demanda em my.socprime.com/pricing.