중국이 지원하는 범죄 조직 브론즈 프레지던트가 유럽, 중동 및 남미의 정부 관료를 대상으로 한 캠페인을 시작하여 PlugX 악성코드 – 중국 해커 그룹 사이에서 인기 있는 백도어를 사용했습니다.
연구원들에 따르면, 이 위협 그룹의 주요 목표는 첩보 활동입니다.
PlugX 악성코드 탐지
SOC Prime은 코드 기반 접근 방식을 활용하여 가속화된 SOC 운영을 위해 위협 사냥 및 사이버 위협 인텔리전스를 제공합니다. 코드 기반 접근 방식 을 통해 확장 가능하고 효과적인 보안 실무를 제공합니다. SOC Prime의 Threat Bounty 개발자들로부터 출시된 다음 Sigma 기반 규칙들은 Wirapong Petshagun and Zaw Min Htun (ZETA) 보안 실무자가 시스템이 PlugX 악성코드에 노출되었는지를 탐지하는 데 도움을 줍니다:
레지스트리 이벤트를 통한 중국 정부 후원 BRONZE PRESIDENT의 PlugX 활동의 가능성 있는 탐지
로드된 DLL 파일을 감지하여 가능한 PlugX RAT 로더 실행 (image_load를 통해)
이 탐지 기능은 MITRE ATT&CK® 프레임워크와 정렬된 26개 이상의 SIEM, EDR 및 XDR 플랫폼에서 사용할 수 있습니다. MITRE ATT&CK® 프레임워크 v.10.
다가오는 출시를 팔로우하여 이 캠페인과 관련된 최신 SOC 콘텐츠 항목을 놓치지 마십시오. 즉시 액세스하려면 탐지 탐색 버튼을 클릭하십시오.
PlugX 악성코드 분석
브론즈 프레지던트 범죄 해커 그룹, 일명 Mustang Panda, HoneyMyte, Red Lich, Temp.Hex., TA416 및 RedDelta는 2018년부터 다양한 산업 분야의 엔터티를 위협하기 위해 폐쇄형 및 오픈 소스 악성 소프트웨어를 사용했습니다. 위협 행위자들이 사용하는 도구 중에는 Cobalt Strike, Cobalt Strike, China Chopper, ORat 및 RCSession과 같은 합법적 및 악성 소프트웨어가 포함되어 있습니다.
이 클러스터의 작전 모드는 중국 정부에 의해 단순히 허용되거나 심지어 임무를 받은 것일 수도 있음을 시사합니다.
2022년 봄, ESET 의 위협 분석가들이 브론즈 프레지던트가 수행한 사이버첩보 캠페인에 대한 세부 보고서를 발표했습니다. 위협 그룹은 Hodur 로 표시된 PlugX 버전을 사용해 동아시아, 동남아시아, 유럽 및 아프리카 전역의 공격에서 스피어 피싱 캠페인을 통해 확산시켰습니다.
가장 최근의 캠페인 은 RAR 압축 파일을 도입하여 악성코드를 배포한 것이 특징입니다. 피해자가 무기화된 RAR 파일을 열면 문서처럼 보이는 Windows 바로 가기(LNK) 파일이 표시됩니다. 이 ‘파일’을 클릭하면 악성코드가 실행됩니다. 이 공격은 2022년 6월과 7월에 문서화되었습니다.
현대 보안 위협에 대한 만능 해결책은 없습니다. SOC 전문가들은 위협이 침투 메커니즘을 설정하거나 데이터를 도난하거나 페이로드를 주입하기 전에 적시에 위협을 식별할 수 있도록 설계된 최고급 솔루션이 필요합니다. 최신 위협을 앞서고 SOC 운영을 강화하려면 Threat Detection Marketplace구독을 받으십시오. TDM은 시장을 선도하는 25개 SIEM, EDR 및 XDR 기술에 맞춰 제작된 모든 관련 교차 공급업체 및 교차 도구 SOC 콘텐츠를 위한 원스톱 샵입니다. 이 콘텐츠는 추가 위협 컨텍스트로 지속적으로 강화되며, 일련의 품질 보증 감사 과정을 통해 영향, 효율성, 오탐 및 기타 운영 고려 사항을 점검받습니다.
