중국의 ‘Mustang Panda’ 해커, 새로운 'Hodur' 악성코드 배포해

Chinese 'Mustang Panda' Hackers Spotted Deploying New 'Hodur' Malware

 

현재 진행 중인 사이버 스파이 활동이 감염된 시스템에서 이전에 문서화되지 않은 새로운 PlugX 원격 액세스 트로이 목마 변종을 사용했습니다. 범인은 Mustang Panda로 알려진 중국의 APT(Advanced Persistent Threat)로 지목되었습니다.

 

슬로바키아의 사이버 보안 회사인 ESET은 이 새 버전을 Hodur로 명명했습니다. 2021년 7월에 밝혀진 THOR라는 다른 PlugX(Korplug) 변종과 유사하기 때문입니다.

 

ESET의 악성코드 연구원인 Alexandre Côté Cyr는 보고서를 통해 아래와 같이 밝혔습니다.

 

"대부분의 피해자는 동아시아와 동남아시아에 위치하지만 소수는 유럽(그리스, 키프로스, 러시아)과 아프리카(남아프리카, 남수단)에 위치합니다.”

 

"밝혀진 피해자에는 연구 기관, 인터넷 서비스 제공자(ISP), 주로 동아시아와 동남아시아에 위치한 유럽 재외 공관이 포함됩니다."

 

TA416, HoneyMyte, RedDelta, PKPLUG로도 알려진 Mustang Panda는 주로 몽골 집중하며 비 정부 기관을 노리는 것으로 알려진 스파이그룹입니다.

 

최소 2021년 8월 시작된 이 캠페인은 유럽에서 진행 중인 사건 및 우크라이나 전쟁과 관련된 미끼를 계속해서 진화시켜 이를 이용합니다.

 

 

<이미지 출처: https://www.welivesecurity.com/2022/03/23/mustang-panda-hodur-old-tricks-new-korplug-variant/>

 

 

ESET은 아래와 같이 덧붙였습니다.

 

"또 다른 피싱 미끼는 업데이트된 COVID-19 여행 제한 사항, 그리스 내 승인된 지역 지원 지도, 유럽 의회 및 이사회 규정과 관련된 이슈를 사용합니다.”

 

"마지막 미끼는 유럽 이사회 웹사이트에서 볼 수 있는 실제 문서입니다. 이것은 이 캠페인을 운영하는 APT 그룹이 현재 유행 중인 이슈를 추적하고 있으며 신속하고 성공적으로 이에 대응할 수 있음을 보여줍니다."

 

이 감염은 사용된 피싱 미끼의 종류와는 관계 없이 윈도우 호스트에 Hodur 백도어를 배포합니다.

 

"이 캠페인에 사용된 새로운 변종에서 THOR과 많은 유사점이 발견되었기 때문에 Hodur라 이름을 붙였습니다."

 

"유사한 점에는 Software\CLASSES\ms-pu 레지스트리 키 사용, 구성에서 [명령 및 제어] 서버에 대한 동일한 형식 사용, 정적 창 클래스 사용 등이 포함됩니다."

 

Hodur는 다양한 명령을 처리할 수 있는 기능을 갖추고 있어 임플란트가 광범위한 시스템 정보를 수집하고, 임의의 파일을 읽고 쓰고, 명령을 실행하고, 원격 cmd.exe 세션을 시작할 수 있도록 합니다.

 

ESET이 발견한 내용은 이달 초 구글의 TAG 및 Proofpoint가 업데이트된 PlugX 변종을 배포하는 Mustang Panda 캠페인에 대해 자세히 설명한 내용과 일치합니다.

 

"이 캠페인에 사용된 미끼는 Mustang Panda가 전 세계에서 발생하는 이벤트에 얼마나 빨리 대응할 수 있는지 다시 한 번 보여줍니다."

 

"또한 이 그룹은 Korplug를 배포하기 위해 트라이던트 다운로더를 사용하는 등 그들의 툴을 반복적으로 개선합니다.”

 

 

 

 

출처:

https://thehackernews.com/2022/03/chinese-mustang-panda-hackers-spotted.html

https://www.welivesecurity.com/2022/03/23/mustang-panda-hodur-old-tricks-new-korplug-variant/ (IOC)