PlugX 멀웨어 탐지: 최신 범죄 물결에서 사후 착취 모듈식 RAT을 사용하는 Bronze President 범죄 조직

중국이 지원하는 범죄 조직 브론즈 프레지던트가 유럽, 중동 및 남미의 정부 관료를 대상으로 한 캠페인을 시작하여 PlugX 악성코드 – 중국 해커 그룹 사이에서 인기 있는 백도어를 사용했습니다.

연구원들에 따르면, 이 위협 그룹의 주요 목표는 첩보 활동입니다.

PlugX 악성코드 탐지

SOC Prime은 코드 기반 접근 방식을 활용하여 가속화된 SOC 운영을 위해 위협 사냥 및 사이버 위협 인텔리전스를 제공합니다. 코드 기반 접근 방식 을 통해 확장 가능하고 효과적인 보안 실무를 제공합니다. SOC Prime의 Threat Bounty 개발자들로부터 출시된 다음 Sigma 기반 규칙들은 Wirapong Petshagun and Zaw Min Htun (ZETA) 보안 실무자가 시스템이 PlugX 악성코드에 노출되었는지를 탐지하는 데 도움을 줍니다:

레지스트리 이벤트를 통한 중국 정부 후원 BRONZE PRESIDENT의 PlugX 활동의 가능성 있는 탐지

로드된 DLL 파일을 감지하여 가능한 PlugX RAT 로더 실행 (image_load를 통해)

이 탐지 기능은 MITRE ATT&CK® 프레임워크와 정렬된 26개 이상의 SIEM, EDR 및 XDR 플랫폼에서 사용할 수 있습니다. MITRE ATT&CK® 프레임워크 v.10.

다가오는 출시를 팔로우하여 이 캠페인과 관련된 최신 SOC 콘텐츠 항목을 놓치지 마십시오. 즉시 액세스하려면 탐지 탐색 버튼을 클릭하십시오.

탐지 탐색  

PlugX 악성코드 분석

브론즈 프레지던트 범죄 해커 그룹, 일명 Mustang Panda, HoneyMyte, Red Lich, Temp.Hex., TA416 및 RedDelta는 2018년부터 다양한 산업 분야의 엔터티를 위협하기 위해 폐쇄형 및 오픈 소스 악성 소프트웨어를 사용했습니다. 위협 행위자들이 사용하는 도구 중에는 Cobalt Strike, Cobalt Strike, China Chopper, ORat 및 RCSession과 같은 합법적 및 악성 소프트웨어가 포함되어 있습니다.

이 클러스터의 작전 모드는 중국 정부에 의해 단순히 허용되거나 심지어 임무를 받은 것일 수도 있음을 시사합니다.

2022년 봄, ESET 의 위협 분석가들이 브론즈 프레지던트가 수행한 사이버첩보 캠페인에 대한 세부 보고서를 발표했습니다. 위협 그룹은 Hodur 로 표시된 PlugX 버전을 사용해 동아시아, 동남아시아, 유럽 및 아프리카 전역의 공격에서 스피어 피싱 캠페인을 통해 확산시켰습니다.

가장 최근의 캠페인 은 RAR 압축 파일을 도입하여 악성코드를 배포한 것이 특징입니다. 피해자가 무기화된 RAR 파일을 열면 문서처럼 보이는 Windows 바로 가기(LNK) 파일이 표시됩니다. 이 ‘파일’을 클릭하면 악성코드가 실행됩니다. 이 공격은 2022년 6월과 7월에 문서화되었습니다.

현대 보안 위협에 대한 만능 해결책은 없습니다. SOC 전문가들은 위협이 침투 메커니즘을 설정하거나 데이터를 도난하거나 페이로드를 주입하기 전에 적시에 위협을 식별할 수 있도록 설계된 최고급 솔루션이 필요합니다. 최신 위협을 앞서고 SOC 운영을 강화하려면 Threat Detection Marketplace구독을 받으십시오. TDM은 시장을 선도하는 25개 SIEM, EDR 및 XDR 기술에 맞춰 제작된 모든 관련 교차 공급업체 및 교차 도구 SOC 콘텐츠를 위한 원스톱 샵입니다. 이 콘텐츠는 추가 위협 컨텍스트로 지속적으로 강화되며, 일련의 품질 보증 감사 과정을 통해 영향, 효율성, 오탐 및 기타 운영 고려 사항을 점검받습니다.