지구 프레타 APT 공격 탐지: DOPLUGS 악성코드로 아시아를 공격하는 중국 연계 APT, 새로운 PlugX 변종

악의적인 중국 후원 Earth Preta APT, Mustang Panda로도 알려져 있음 아시아 국가들을 오랜 적대 캠페인에서 표적으로 삼아왔으며, 이는 발전된 버전의 PlugX 멀웨어 DOPLUGS로 명명된 것을 적용했습니다.

DOPLUGS 멀웨어를 사용한 Earth Preta 공격 탐지

2023년은 APT 집단들의 활동 증대로, 사이버 영역에서 기존 지정학적 긴장의 영향을 반영하는 것으로 주목받아 왔습니다. 이번에는 보안 전문가들이 중국과 연관된 Earth Preta APT가 아시아 태평양 지역을 유럽 국가들 외에 주시하고 있다고 보고합니다. 초기 단계에서 잠재적 침입을 탐지하고 증가하는 공격을 견디기 위해, 사이버 방어자들은 혁신적인 위협 탐지 및 사냥 솔루션이 필요합니다.

SOC Prime 플랫폼은 위협 사냥 조사를 간소화하고 사전 사이버 방어를 가능하게 하기 위한 고급 사이버보안 도구와 함께 정제된 탐지 알고리즘 세트를 집계합니다. 다음을 눌러 탐지 탐색 버튼을 눌러 Earth Preta의 최신 SMUGX 캠페인에 대한 Sigma 규칙 목록을 탐색하십시오.

탐지 탐색

모든 규칙은 28개의 SIEM, EDR, XDR 및 데이터 레이크 솔루션과 호환되며 MITRE ATT&CK 프레임워크 v14.1에 매핑됩니다. 또한, 탐지에는 공격 시간표, CTI 참조, 분류 권장 사항 등을 포함한 관련 메타데이터로 풍부하게 제공됩니다.

또한 보안 전문가들은 아래의 관련 Sigma 규칙을 탐구하여 관련 디렉토리와 관련된 SMUGX 캠페인 행동을 식별하는 데 도움을 받을 수 있습니다.

RedDelta 및 Mustang Panda와 관련된 슬립한 SMUGX 캠페인 감지 파일로 (file_event) 감지

Earth Preta TTP에 깊이 들어가고 관련된 탐지 스택을 탐구하기 위해, 보안 전문가들은 이 링크 를 따라 추가 정보를 얻을 수 있습니다. 또한, 이 링크을 사용하여 사이버 방어자는 PlugX 공격을 식별하는 데 유용한 규칙을 찾을 수 있습니다.

Earth Preta 일명 Mustang Panda 공격 분석: DOPLUGS을 활용한 캠페인의 개요

2023년 여름 중반에, 체크 포인트 연구자들은 새로운 SMUGX 적대 캠페인을 발견했습니다 유럽 국가를 대상으로 한 것으로, 이는 Earth Preta(일명 Mustang Panda 또는 Bronze President)의 악의적인 활동과 관련이 있습니다.

트렌드 마이크로 연구자들은 맞춤형 PlugX 악성 코드를 포함한, 대만 주 정부를 대상으로 한 피싱 이메일도 추가로 밝혀냈습니다. 이는 유럽을 대상으로 한 SMUGX 공격에 사용된 멀웨어 샘플과 동일했습니다. 결과적으로, 지속적인 SMUGX 캠페인은 유럽뿐만 아니라 타이완과 베트남이 주 타겟이 되었으며, 중국, 일본, 말레이시아 및 기타 아시아 국가들도 포함되었습니다.

2022년부터 주목받고 있는 맞춤형 PlugX 멀웨어 샘플은 Korplug로도 알려진 일반적인 PlugX 변종 과는 달랐습니다. 업그레이드된 PlugX 버전은 DOPLUGS라 불리며, KillSomeOne 모듈로 알려진 USB 웜을 사용했습니다.

PlugX 는 Mustang Panda를 포함한 여러 해킹 집단의 공격 도구로서 악명이 높은 RAT입니다. 이 그룹은 사이버 작전에서 PlugX를 주요 도구 중 하나로 사용하는 것으로 관찰되었습니다. Mustang Panda APT는 적어도 2012년부터 활동해왔지만, 그 활동은 2017년 경에 사이버보안 커뮤니티에서 더욱 주목받게 되었습니다. PlugX 외에도, 이 그룹은 Cobalt Strike, China Chopper, ORat, 및 기타 여러 도구를 악용합니다. 이 그룹은 주로 아시아 태평양 지역과 유럽의 공공 부문 관련 조직, 군사, 금융, 기술 산업 분야를 표적으로 삼습니다.

최신 장기 캠페인에서 Earth Preta 행위자는 고급 PlugX 변종 DOPLUGS를 활용하는데, 이는 악성 페이로드의 설치 및 실행을 용이하게 하도록 설계된 유해한 다운로더입니다. 2018년 이후, Earth Preta는 모든 플러그 X의 백도어 명령 세트를 일관되게 개정해왔고 적어도 네 세대의 멀웨어 샘플을 이루었습니다. 예를 들어, 2022년 3월 말, Mustang Panda는 Hodur로 명명된 새로운 PlugX RAT 변종을 배포하여 우크라이나 조직 및 유럽 전역의 외교 임무를 대상으로 하였습니다.

최신 DOPLUGS 버전은 합법적인 Adobe 응용 프로그램을 활용하여 피해자를 유인하는 새로운 전술을 적용하고 있으며, VirusTotal 데이터에 따르면 대부분의 샘플은 베트남에서 제공됩니다. 이 캠페인에서는, 그룹의 일반적인 적대적 행동으로서, Earth Preta APT는 초기 접근을 위해 스피어 피싱 이메일을 사용하고, Google Drive 링크와 암호로 보호된 아카이브를 활용하여 감염된 시스템에 DOPLUGS 멀웨어를 다운로드하도록 설계했습니다.

그룹이 유럽과 아시아에서 계속 활동함에 따라, 수비자들은 Earth Preta 공격에 대한 어떠한 규모와 정교함이든지 보호하기 위해 인식을 높이고 경계해야 합니다. 시작하려면 Uncoder IO 를 사용하여 새로운 위협에 대응하는 탐지 코드를 빠르게 작성하고, 이를 자동으로 여러 SIEM, EDR 및 데이터 레이크 언어로 변환하며, 위협 정보를 맞춤형 IOC 쿼리로 즉시 변환하여 간단한 레트로스펙티브 IOC 헌팅을 수행하십시오.