머스탱 판다에 의해 확산되는 새로운 코플러그 변종: Hodur로 명명된 PlugX RAT

연구자들은 새로운 사이버 스파이 활동 에 대해 악명 높은 Mustang Panda APT 그룹이 최소 2021년 8월부터 진행하고 있다는 경고를 하고 있습니다. 이전에 알려지지 않은 Korplug (PlugX로도 알려짐) 원격 액세스 도구 (RAT)는 주로 우크라이나 기관과 유럽 외교 임무를 대상으로 하고 있습니다. 새로운 멀웨어 변종은 THOR가 이전에 관찰된 매우 유사한 PlugX 변종의 이름이기도 해서, Thor의 신화적 형제를 참조한 Hodur라고 명명되었습니다.

Mustang Panda의 Hodur 는 러시아와 우크라이나 사이의 진행 중인 전쟁이라는 핫한 주제를 악용하여 피싱 이메일을 통해 악성 문서를 전달합니다. 미끼 문서는 자주 업데이트되며, 분석 방지 기술과 제어 흐름 난독화를 활용하는 맞춤형 로더를 포함하고 있습니다.

새로운 Korplug 변종 탐지

새로운 Korplug 변종과 관련된 악성 활동을 감지하고 Mustang Panda의 최신 변화에 대해 귀하의 사이버 방어를 선제적으로 강화하려면, 우리 조직의 Threat Bounty 개발자 Furkan Celik이 작성한 Sigma 규칙을 참조할 수 있습니다. 이 규칙은 DLL 및 OCX 확장자를 가진 파일을 감지하는 데 사용될 수 있습니다.

Korplug 백도어 사용에 의한 의심스러운 Mustang Panda 실행 (파일 이벤트를 통해)

이 규칙은 다음 SIEM, EDR 및 XDR 형식으로 번역됩니다: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender for Endpoint, Devo, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Qualys, AWS OpenSearch.

이 규칙은 최신 MITRE ATT&CK® 프레임워크 v.10과 일치하여 실행 전술 및 사용자 실행 (T1204) 기술을 다룹니다.

Korplug (PlugX) 멀웨어와 관련된 다양한 공격을 다루는 이전 탐지 항목의 방대한 목록을 확인하십시오. 또한, 새로 떠오르는 위협이나 Korplug RAT and Mustang Panda APT 그룹에 대한 탐지 콘텐츠를 생성하고자 하는 경우, 우리 Threat Bounty 프로그램에 기여하실 수 있습니다.

탐지 보기 Threat Bounty 참가

Korplug 사용 캠페인: Hodur 멀웨어 분석

그들의 피싱 이메일에서, 공격자들은 전송하는 메시지와 문서에 대한 주제를 계속해서 업데이트하는 경향이 있습니다. 예를 들어, 첨부 파일은 ‘우크라이나의 유럽 연합 국경 상황.exe’와 같은 이름을 가질 수 있습니다. 그렇지 않으면 유럽 의회나 이사회 규정 또는 새로운 COVID-19 여행 제한 목록처럼 보이는 감염된 문서를 첨부할 수도 있습니다.

실행 파일이 시작되면 네 가지 HTTP 파일을 다운로드합니다:

• 미끼 문서
• 합법적인 EXE 파일
• 악성 모듈
• 암호화된 Korplug 파일

마지막 세 구성 요소는 DLL 페이로드의 사이드로딩을 시작하는 데 함께 작동합니다. 한편, 분석 방지 기능은 로더와 페이로드 모두에서 식별됩니다.

암호화된 페이로드는 장치의 메모리에 DAT 파일로 작성되고 로더로 해독됩니다. 연구자들은 이들이 Hodur라고 부르는 Korplug 백도어의 최신 변종이 이전 것과 몇가지 다른 점이 있지만 THOR와 명령 및 제어(C&C) 서버 형식, 소프트웨어CLASSESms-pu 레지스트리 키 및 Static 윈도우 클래스의 사용에서는 매우 유사하다고 언급하고 있습니다. Korplug 백도어 가 해독되면 백도어는 활동을 시작하고 실행 중인 경로를 확인한 후 RAT 기능을 실행하거나 설치 프로세스를 진행하여 지속성을 설정합니다.

고 Hodur라고 불리는 새로운 Korplug 변종은 정교한 행동과 하드코딩된 기능의 점진적인 개선을 보여주고 있으며, 피싱 캠페인 동안에도 그런 모습이 나타납니다. 미끼 문서 역시 세계의 최신 불안한 사건에 따라 빠르게 조정됩니다. 그 결과, SOC 팀들은 공격자들이 사이버전쟁에서 우위를 점하지 않도록 방어를 더욱 빠르게 업그레이드하고 정교하게 다듭으려 노력합니다. SOC Prime의

The 새로운 Korplug 변종 의 탐지로서 코드 플랫폼에 가입하여 매일 갱신되는 최신 위협에 대응하여 연속적으로 갱신되는 분야의 믿을 수 있는 전문가들이 만든 세계에서 가장 큰 실시간 탐지 콘텐츠 풀에 접근할 수 있습니다. SOC Prime의 탐지 코드 입니다.