중국 연계 APT 그룹 TA416, PlugX 멀웨어로 유럽 동맹국 타겟팅하여 우크라이나 난민 지원 서비스 마비시킴

중국 국영 APT 그룹 TA416 (일명 Mustang Panda/Red Delta) 유럽 정부기관 및 외교 단체를 목표로 하여 러시아의 공격에서 도피하는 우크라이나 난민과 이주민에게 서비스를 제공하고 있는 것으로 밝혀졌습니다. 상세 분석에 따르면 공격자들은 주로 장기적인 사이버 스파이 활동 캠페인을 진행하며 즉각적인 이익을 쫓기보다는,

연구는 Proofpoint 에 의해 수행되었습니다. 공격자들이 다양한 PlugX 악성코드 유형을 전달하기 위해 웹 버그를 활용한다는 점을 강조합니다. 상황은 TA416 배우가 최근 인코딩 방식을 변경하고 새로운 구성 기능을 추가하여 공격적으로 더 정교한 악성코드 버전으로 업그레이드했기 때문에 심각해지고 있습니다. 그러므로 이 악성코드의 기존 탐지 콘텐츠는 충분하지 않을 수 있습니다.

TA416 PlugX 탐지

보안 전문가들은 SOC Prime의 Threat Bounty 개발자 Nattatorn Chuensangarun이 제작한 최신 Sigma 기반 탐지 규칙을 아래에서 찾을 수 있습니다. 이 규칙은 악명 높은 중국 피싱 행위자가 유럽 동맹국을 목표로 사용할 것으로 확인된 새로운 고급 악성 소프트웨어로서 최근 식별된 새로운 PlugX 변형을 포착합니다.. 

TA416 웹 버그를 사용하여 PlugX가 유럽 정부를 목표로 합니다.

기존 계정에 로그인하거나 SOC Prime의 Detection as Code 플랫폼에 가입하여 이 탐지를 다음 형식으로 액세스하세요: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender for Endpoint, FireEye, Carbon Black, LogPoint, Graylog, Regex, Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Qualys, 및 AWS OpenSearch.

이 탐지 규칙은 MITRE ATT&CK® 기법 및 하부기법을 다룹니다. 예를 들어 부트 또는 로그온 자동 시작 실행(T1547)과 사용자 실행: 악성 파일(T1204.002) 등이 있습니다.

인프라를 선제적으로 방어하기 위해, 숙련된 사이버 안전 연구자 및 유능한 콘텐츠 개발자와 전 세계적으로 연결하여 SOC Prime의 Detection as Code 플랫폼에서 가장 큰 탐지 콘텐츠 풀을 발견하세요. 자체 콘텐츠 기여자가 되고 싶으신가요? Threat Bounty Program에 참여하여 탐지 콘텐츠를 제출하고 작업에 대한 반복 보상을 받을 기회를 잡으세요.

탐지 보기 Threat Bounty 참여

TA416 전술 분석

가장 최근 사이버 공격 벡터는 TA416/Red Delta APT 집단 이 2020년부터 실행한 일반적인 적 캠페인과 일맥상통합니다. 이 모든 것은 유럽 외교 기관을 가장한 피싱 이메일에서 시작됩니다. TA416 APT 그룹은 SMTP2Go라는 합법적인 이메일 마케팅 서비스를 사용하여 Envelope Sender 필드를 변경할 수 있습니다. 또는 TA416 위협 행위자 는 또한 2022년 2월 말, 러시아가 우크라이나를 침공한 직후에 NATO 관계자에게 악성코드 페이로드를 전달하기 위해 손상된 외교관의 이메일을 사용했습니다.

감염된 이메일에 포함된 악성 URL은 클릭 시 악성코드 드로퍼가 포함된 아카이브 파일 다운로드를 시작합니다. 이 파일은 다음 네 가지 구성 요소를 다운로드합니다:

• PlugX 악성코드
• PlugX 로더
• DLL 프로세스 로더
• PDF 미끼 파일

사이버 보안 연구자들은 중국 위협 행위자들이 다양한 초기 로더 버전, 마지막 페이로드 및 다른 통신 방식을 사용한다고 언급합니다. 그래서 IOC는 다양할 수 있지만, TTP TA416과 관련된 것들은 2020년부터 활용해 온 것들과 크게 다르지 않아서 TA416 캠페인 을 더욱 쉽게 탐지할 수 있습니다.

위협 탐지 역량을 더욱 빠르고 효율적으로 발전시키기 위해 개별 조직은 협력적인 사이버 방어의 힘을 활용하고 산업의 모범 사례로 전문 지식을 풍부하게 할 수 있습니다. 참여하세요 SOC Prime의 Detection as Code 플랫폼, 세계 최대이자 가장 발전된 협력적인 사이버 방어 플랫폼에, 새롭게 떠오르는 위협보다 앞서 나가고 SOC 운영을 강화하세요.