어스 프레타(지구 검은명태) 또는 무스탕 판다 공격 탐지: 가짜 구글 계정을 남용한 전 세계 정부를 겨냥한 스피어 피싱 캠페인
목차:
악명 높은 중국과 연계된 Earth Preta (일명 Mustang Panda, Bronze President, TA416) APT 그룹이 주로 아시아 태평양 지역에 있는 정부 기관을 포함한 다양한 산업 분야의 글로벌 조직을 대상으로 하는 스피어 피싱 공격의 급증에 기인한 바 있습니다. 사이버 보안 연구자들은 위협 행위자가 가짜 Google 계정을 악용하여 TONEINS, TONESHELL 백도어 및 PUBLOAD를 포함한 다양한 유형의 악성 코드를 유포했다고 관찰했습니다.
Earth Preta 일명 Mustang Panda의 최신 적대적 활동 감지
중국과 연계된 위협 행위자인 Earth Preta 일명 Mustang Panda 또는 Bronze President는 2022년 3월부터 사이버 위협 영역에서 급부상하여 여러 산업 분야의 글로벌 조직을 대상으로 공격 범위를 지속적으로 확장하고 공격 역량을 강화해 왔습니다. 중국 지원 행위자들의 최근 스피어 피싱 공격과 관련된 잠재적 침입을 조직들이 신속하게 식별할 수 있도록 돕기 위해 SOC Prime은 주목받는 Threat Bounty 개발자들이 제작한 관련 Sigma 규칙 몇 가지를 최근 발표했습니다. Wirapong Petshagun and Kyaw Pyiyt Htet (Mik0yan). 두 Sigma 규칙은 공격자가 지속적인 스피어 피싱 캠페인에서 사용하는 DLL 사이드 로딩 기법을 감지합니다. 이 감지는 업계 선도적인 SIEM, EDR, BDP, 및 XDR 솔루션과 호환되며 최신 MITRE ATT&CK® 프레임워크 v12에 맵핑되었습니다.
아래 링크를 따라가면 위협 조사를 위한 심층적인 컨텍스트 메타데이터로 강화된 전용 Sigma 규칙으로 즉시 탐색할 수 있습니다.
DLL 사이드 로딩 기법(via image_load)을 통한 가능성 있는 Earth Preta(중국 기반 APT 그룹) 디펜스 회피
Wirapong Petshagun의 이 Sigma 규칙은 기본 ATT&CK 기법으로 적용된 Hijack Execution Flow (T1574)를 사용하는 디펜스 회피 전술을 다룹니다.
연관된 파일 이벤트 감지를 통해 탐지된 의심스러운 Mustang Panda DLL 사이드 로딩 활동 (2022년 11월)
Kyaw Pyiyt Htet (Mik0yan)이 개발한 위 감지는 관련 사용자 실행(T1204) 기법과 함께 디펜스 회피 및 실행 전술을 다룹니다.
집단적인 사이버 방어에 기여할 방법을 찾고 있는 열정적인 위협 연구자들은 Threat Bounty 프로그램 군중 소싱 이니셔티브에 참여할 수 있습니다. Sigma 및 ATT&CK에 기반한 탐지 코드를 작성하고 업계 동료들과 전문 지식을 공유하며 작업의 품질과 속도에 대한 포상금을 받는 동시에 탐지 엔지니어링 기술을 지속적으로 향상시킵니다.
위협 탐지 범위를 모두 채우고자 하는 발전적인 조직은 Earth Preta 일명 Mustang Panda APT의 악의적인 활동을 탐지하기 위한 전체 Sigma 규칙 목록에 관심을 가질 수 있습니다. 아래 탐지 탐색 버튼을 클릭하여 해당 Sigma 규칙 및 25개 이상의 보안 기술에 대한 번역을 확인하고 MITRE ATT&CK 참조, CTI 링크, 완화 조치 및 기타 실질적인 메타데이터와 같은 포괄적인 사이버 위협 컨텍스트에 대해 탐구할 수 있습니다.
Earth Preta 일명 Mustang Panda APT: 전 세계 정부를 공격하는 스피어 피싱 캠페인 분석
사이버 수호자들은 악명 높은 해킹 집단 Earth Preta (일명 Mustang Panda, Bronze President, TA416)가 정부 네트워크를 공격할 가능성이 있음을 보고합니다.
Trend Micro 사이버 보안 연구자들은 스피어 피싱 공격 벡터를 사용하는 중국 지원 APT 그룹의 지속적인 캠페인을 관찰했습니다. 이러한 공격에서 Earth Preta 해커들은 주로 정부 기관 및 아시아 태평양 지역의 다른 조직을 표적으로 하는 맞춤형 악성 코드를 배포하기 위해 가짜 Google 계정을 악용했습니다. 감염 체인은 Google 드라이브 링크를 통해 유포된 압축 파일을 다운로드하고 여는 것으로 시작됩니다. 열리면, 이러한 유인 파일은 DLL 사이드 로딩 적대적 기법을 통해 손상된 시스템에서 악성 코드 계통을 실행하도록 이끕니다. 악성 캠페인은 탐지되지 않도록 하면서 TONEINS, TONESHELL, 및 PUBLOAD 악성 코드 계열을 확산시키며, 이는 차례로 다른 페이로드를 배포할 수 있습니다. 손상된 시스템에 침투한 후, 도난된 민감 데이터는 다른 침입을 위한 진입 벡터로 활용될 수 있으며, 이는 잠재적으로 타격을 입은 조직에 더 심각한 위험을 제기하고 공격의 범위와 영향을 확장합니다.
Mustang Panda는 2018년 여름 사이버 위협 영역에 등장한 중국 지원 사이버 스파이 APT 그룹입니다. 이 해킹 집단은 PlugX와 같은 널리 알려진 적대적 도구와 함께 자체 맞춤형 악성 로더를 개발한 것으로 유명하며 Cobalt Strike 을 사용하여 표적 시스템을 타격합니다. 2022년 3월 말, 이 그룹은 우크라이나 조직과 유럽 외교 임무를 대상으로 하는 Hodur라는 새로운 PlugX RAT 변종을 활용했습니다.
이 그룹은 계속해서 적대적 도구를 업데이트하고 공격 역량을 강화하며, 탐지 회피를 위해 더 많은 맞춤형 악성 코드 샘플을 추가하고 있기 때문에 사이버 수호자들은 그들의 악의적인 활동을 사전에 감지할 준비를 해야 합니다.
완화 조치로는, 조직들에게 필수 보안 모범 사례를 따르고 인프라스트럭처를 피싱 공격으로부터 보호하기 위해 다층 이메일 보호를 활성화할 것을 강력히 권장합니다.
어떤 현재 또는 신생 APT 공격에도 맞설 수 있도록, 선별된 Sigma 규칙으로 위협을 앞서가십시오. APT 관련 도구와 공격에 대한 900개 이상의 규칙이 바로 손에 닿습니다! 200개 이상은 무료로 얻거나 모든 관련 탐지 내용을 On-Demand로 확보하십시오. my.socprime.com/pricing.
