MQsTTang 백도어 탐지: Mustang Panda APT가 정부 기관을 대상으로 한 최신 캠페인에서 적극 활용하는 맞춤형 멀웨어

새로운 날, 사이버 수비수를 위협하는 새로운 악성 위협! 최근 보안 연구원들은 Mustang Panda APT가 유럽과 아시아의 표적을 겨냥한 지속적인 캠페인에서 적극적으로 활용하고 있는 새로운 악성코드 유형을 밝혔습니다. MQsTTang이라는 새로운 맞춤형 백도어는 감지를 피하고 공격자의 관심 대상인 정부 및 정치 기관을 공격하면서 추적을 어렵게 만들기 위해 처음부터 개발되었습니다.

MQsTTang 백도어 탐지

공격 개발의 초기 단계에서 악성 활동을 식별하고 잠재적인 MQsTTang 감염으로부터 조직 인프라를 적극적으로 방어하기 위해 보안 담당자는 SOC Prime의 플랫폼에서 집단 사이버 방어를 위한 일련의 Sigma 규칙을 활용할 수 있습니다.

Mustang Panda APT 그룹에 의해 연관된 DLL을 탐지하여 MQsTTang 백도어 [Korplug 로더 사용]의 가능성 있는 동작 (file_event를 통해)

우리의 날카로운 Threat Bounty 멤버가 개발한 첫 번째 규칙은 Aytek Aytemur 는 MQsTTang 백도어와 관련된 악성 DLL을 식별합니다. 이 탐지는 20개 이상의 SIEM, EDR, XDR 플랫폼에서 적용 가능하며 MITRE ATT&CK 프레임워크 v12 의 실행 및 방어 회피 전술을 다루고 있으며, 사용자 실행(T1204) 및 프로세스 주입(T1055)이 해당 기술로 포함됩니다.

연관된 레지스트리 키 탐지를 통한 소형 Mustang Panda의 새로운 백도어 [MQsTTang]의 의심스러운 행동 (registry_event를 통해)

경험 많은 Threat Bounty 개발자가 작성한 두 번째 규칙은 Mustafa Gurkan KARAKAYA 는 레지스트리 키 추가를 통해 MQsTTang의 지속적 활동을 식별합니다. 이 규칙은 15개 이상의 SIEM, EDR, XDR 솔루션과 호환되며, 레지스트리 수정(T1112)을 주요 기술로 하는 방어 회피 전술을 다루기 위해 MITRE ATT&CK v12에 매핑됩니다.

세상의 안전에 기여하면서 탐지 엔지니어링 기술을 연마하고 싶으신가요? 군중개발 콘텐츠 개발의 힘에 합류하여 Threat Bounty Program 을 통해 글로벌 사이버 방어 커뮤니티가 공격자보다 앞서도록 도와주세요. ATT&CK 태그가 달린 자체 Sigma 규칙을 작성하여 SOC Prime 플랫폼에 게시하고, 산업 동료로부터 인정과 보상을 받으세요.

버튼을 눌러 탐지 사항 탐색 하고 Mustang Panda APT 집단과 관련된 도구 및 공격 기법을 탐지하기 위한 Sigma 규칙 전체 컬렉션을 즉시 심층 분석하십시오. 모든 탐지 알고리즘에는 관련 ATT&CK 참조, 위협 인텔리전스 링크 및 기타 관련 메타데이터가 함께 제공됩니다.

탐지 사항 탐색

MQsTTang 백도어 분석

Mustang Panda APT (TA416, Bronze President으로도 알려짐)은 중국 출신의 APT 단체로, PlugX 악성코드 계열이 데이터 덤핑 작업에서 자주 사용되는 것으로 잘 알려져 있습니다.

최근 ESET의 조사 결과 는 2023년 1월 이후 악성 영역에서 활발히 활동 중인 새로운 백도어의 존재를 밝혀냅니다. 이 새로운 위협은 이전 샘플과의 코드 중복 없이 처음부터 개발되어 새롭고 악의적인 작업 동안 보안 보호망을 쉽게 피할 수 있습니다.

첫 번째 MQsTTang 캠페인은 2023년 초에 시작되었으며 유럽과 아시아 전역의 정부 및 외교 기관을 대상으로 한 공격이 진행 중입니다. 공격 킬체인은 일반적으로 악성 페이로드를 떨어뜨리는 피싱 이메일로 시작됩니다. 실행 파일은 외교 임무 단원들의 여권 스캔, 대사관 노트 또는 유사한 미끼로 위장된 RAR 아카이브 형태로 배포됩니다.

실행되면 악성코드는 C2(명령 및 제어) 통신 시작, 지속성 확보 등의 다양한 악성 작업을 수행하는 명령행 인수를 사용하여 스스로를 복제합니다.

특히, MQsTTang은 C2 통신에 MQTT 프로토콜을 사용합니다. 이러한 접근 방식은 중재자를 통해 모든 통신을 라우팅함으로써 C2 차단에 대한 저항력을 보장하고 공격자의 인프라를 위장하는 데 기여합니다. 또한, 보안 실무자가 사고를 조사할 때 일반적인 C2 프로토콜을 찾는 경향이 있으므로 MQTT를 사용하면 탐지를 피할 수 있습니다.

응집력 있는 Sigma 규칙을 통해 현재 또는 새로 나타나는 APT 공격을 철저히 방어하세요. APT 관련 도구와 공격을 위한 900개 이상의 규칙이 손 닿는 곳에 있습니다! 200개 이상을 무료로 이용하거나 온디맨드로 모든 관련 탐지 콘텐츠에 접근하세요. my.socprime.com/pricing.