Detecção de Malware PlugX: Rede Criminosa Bronze Presidente Usa RAT Modular Pós-Exploração na Mais Recente Onda de Crimes
Índice:
Um grupo criminoso apoiado pela China chamado Bronze President lançou uma campanha visando funcionários do governo na Europa, no Oriente Médio e na América do Sul, utilizando malware PlugX – a porta dos fundos popular entre gangues de hackers chinesas.
De acordo com os pesquisadores, o principal objetivo do grupo de ameaça é espionagem.
Detectar Malware PlugX
SOC Prime entrega Hunting de Ameaças & Inteligência de Ameaças Cibernéticas para operações aceleradas de SOC, aproveitando os benefícios de uma abordagem orientada por código para práticas de segurança escaláveis e eficazes. As seguintes regras baseadas em Sigma lançadas pelos desenvolvedores de Threat Bounty da SOC Prime Wirapong Petshagun and Zaw Min Htun (ZETA) ajudam os profissionais de segurança a detectar se os sistemas foram expostos ao malware PlugX:
Possível Execução do Carregador de RAT PlugX pela Detecção de Arquivo DLL Carregado (via image_load)
As detecções estão disponíveis para mais de 26 plataformas de SIEM, EDR & XDR, alinhadas com o framework MITRE ATT&CK® v.10.
Siga os lançamentos futuros para não perder novos conteúdos do SOC relacionados a esta campanha. Obtenha acesso instantâneo clicando no botão Explorar Detecções .
Análise do Malware PlugX
O grupo criminoso de hackers Bronze President, também conhecido como Mustang Panda, HoneyMyte, Red Lich, Temp.Hex., TA416, e RedDelta, utiliza software malicioso de código fechado e aberto para comprometer entidades em uma ampla gama de setores industriais desde 2018. Entre as ferramentas que os agentes da ameaça usam estão tanto software legítimo quanto malicioso, como Cobalt Strike, China Chopper, ORat, e RCSession.
O modus operandi do grupo sugere que ele é meramente tolerado pelo governo chinês ou até mesmo incumbido por ele.
Na primavera de 2022, analistas de ameaças da ESET publicaram um relatório detalhado sobre a campanha de ciberespionagem realizada pelo Bronze President. O grupo de ameaça usou uma das versões do PlugX chamada Hodur em ataques por toda Ásia Oriental e Sudeste Asiático, Europa e África, espalhando-o em uma campanha de spear-phishing.
A campanha mais recente é caracterizada pela introdução de arquivos de arquivo RAR para distribuir malware. Quando a vítima abre um arquivo RAR armado, um arquivo de atalho do Windows (LNK) que parece um documento é exibido. Clicar neste ‘arquivo’ executará o malware. Os ataques foram documentados em junho e julho de 2022.
Não existe uma solução mágica quando se trata de ameaças de segurança modernas. Os profissionais de SOC precisam das melhores soluções da categoria projetadas para ajudar a identificar ameaças em tempo hábil antes que os atacantes configurem mecanismos de persistência, roubem dados ou injetem payloads. Para se manter à frente das ameaças emergentes e potencializar suas operações de SOC, obtenha uma assinatura do Threat Detection Marketplace. O TDM é uma loja única para todo o conteúdo de SOC relevante, compatível entre fornecedores e ferramentas, adaptado para 25 das principais tecnologias de SIEM, EDR e XDR do mercado. O conteúdo é continuamente enriquecido com contexto adicional de ameaça, além de verificado para impacto, eficiência, falsos positivos e outras considerações operacionais por meio de uma série de auditorias de garantia de qualidade.
