Malware PlugX Usado pelo Ator APT TA416 Alinhado à China Alvo Aliados Europeus para Comprometer Serviços de Refugiados Ucranianos
Índice:
O grupo APT patrocinado pelo estado chinês TA416 (também conhecido como Mustang Panda/Red Delta) foi encontrado visando agências governamentais europeias e entidades diplomáticas que oferecem serviços para refugiados e migrantes ucranianos que fogem da agressão russa. Uma análise detalhada mostra que os atacantes visam principalmente conduzir ciberespionagem campanhas de longo prazo em vez de buscar ganhos imediatos.
A pesquisa conduzida pela Proofpoint destaca que os atacantes utilizam web bugs para entregar uma variedade de variantes de malware PlugX. A situação se agrava pelo fato de que os atores do TA416 recentemente atualizaram o PlugX para uma versão mais sofisticada de malware, mudando como ele é codificado e adicionando novas capacidades de configuração. Assim, o conteúdo de detecção antigo para esse malware pode não ser suficiente.
TA416 PlugX Detecção
Os praticantes de segurança podem encontrar abaixo a última regra de detecção baseada em Sigma criada pelo desenvolvedor do Threat Bounty da SOC Prime, Nattatorn Chuensangarun. Esta regra captura as novas variantes do PlugX que foram recentemente identificadas por pesquisadores como software malicioso mais avançado usado por infames atores de phishing chineses para alvejar aliados europeus.
TA416 Utiliza Web Bug para Alvos PlugX Governos Europeus
Faça login na sua conta existente ou inscreva-se na plataforma Detection as Code da SOC Prime para acessar esta detecção em uma variedade dos seguintes formatos: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender for Endpoint, FireEye, Carbon Black, LogPoint, Graylog, Regex, Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Qualys e AWS OpenSearch.
Esta regra de detecção aborda técnicas e sub-técnicas MITRE ATT&CK® , tais como Boot or Logon Autostart Execution (T1547) e User Execution: Malicious File (T1204.002).
Para defender proativamente sua infraestrutura, descubra o maior pool do mundo de conteúdo de detecção na plataforma Detection as Code da SOC Prime, conectando pesquisadores de cibersegurança experientes e desenvolvedores de conteúdo proficientes de todo o mundo. Deseja se tornar um colaborador de conteúdo? Participe do nosso Programa Threat Bounty para enviar seu conteúdo de detecção e ter a chance de receber recompensas recorrentes pelo seu trabalho.
Ver Detecções Juntar-se ao Threat Bounty
Táticas TA416 Análise
O vetor de ataque cibernético mais recente está em linha com a campanha comum do adversário do TA416/Red Delta coletivo APT que eles estão praticando pelo menos desde 2020. Tudo começa com e-mails de phishing que se passam por organizações diplomáticas europeias. O grupo APT TA416 usou o SMTP2Go, um serviço legítimo de marketing por e-mail, que permite alterar o campo do remetente do envelope. Alternativamente, os atores de ameaças TA416 também usaram e-mails de diplomatas comprometidos para entregar cargas de malware a oficiais da OTAN no final de fevereiro de 2022, logo após a Rússia invadir a Ucrânia.
Uma URL maliciosa incorporada em um e-mail infectado inicia um download de um arquivo de arquivo com um instalador de malware ao ser clicada. Este arquivo, por sua vez, faz o download de quatro componentes:
- Malware PlugX
- Carregador PlugX
- Carregador do processo DLL
- Arquivo de disfarce PDF
Pesquisadores de cibersegurança mencionam que atores de ameaças chineses usam uma variedade de versões de carregadores iniciais, assim como cargas finais e diferentes rotinas de comunicação. É por isso que pode haver uma ampla variedade de IOCs, enquanto TTPs correlacionados ao TA416 não são muito diferentes daqueles que eles estão aproveitando desde 2020, o que torna as campanhas do TA416 mais fáceis de detectar.
Para evoluir as capacidades de detecção de ameaças mais rápido e de forma mais eficiente, organizações individuais podem aproveitar o poder da defesa cibernética colaborativa e enriquecer sua expertise com as melhores práticas da indústria. Junte-se à plataforma Detection as Code da SOC Prime, a maior e mais avançada plataforma do mundo para defesa cibernética colaborativa, para ficar à frente das ameaças emergentes e capacitar suas operações SOC.
