Mustang Panda로 알려진 중국 기반 위협 행위자는 아시아, 유럽 연합, 러시아 및 미국에 있는 단체들을 공격하기 위해 전술과 악성코드를 개선하고 재구성하는 것이 관찰되었다.

Cisco Talos는 "Mustang Panda는 피해자가 스스로 감염되도록 속이기 위해 주로 시사적인 미끼와 사회 공학의 사용에 의존하는 매우 의욕적인 APT 그룹"이라고 말했다.

 

이 그룹은 적어도 2012년부터 광범위한 조직을 표적으로 삼은 것으로 알려져 있으며, 주로 장기간 접속을 위해 배포된 백도어인 Drop PlugX에 대한 초기 접속 권한을 얻기 위해 이메일 기반 사회 공학에 주로 의존하고 있다.

 

캠페인으로 인한 피싱 메시지에는 우크라이나에서 진행 중인 분쟁에 대한 유럽 연합의 공식 보고서나 우크라이나 정부 보고서로 가장한 악의적인 미끼가 포함되어 있어, 두 보고서 모두 손상된 시스템에 악성코드를 다운로드하고 있다.

 

 

[그림 1. 리버스 쉘 감염 체인]

 

또한 미국과 미얀마, 홍콩, 일본, 대만 등 아시아 여러 국가의 다양한 기업을 공략하기 위한 맞춤형 피싱 메시지도 관찰되었다.

 

이번 조사 결과는 이 단체가 블라고베셴스크 국경 분리 보고서로 위장한 PlugX가 포함된 미끼를 사용하여 러시아 정부 관리를 표적으로 삼았을 수 있다는 Secureworks의 최근 보고서에 따른 것이다.

 

그러나 2022년 3월말에 감지된 유사한 공격은 공격자가 감염 사슬의 다른 구성 요소를 얻기 위해 사용되는 원격 URL을 줄임으로써 그들의 전술을 업데이트하고 있음을 보여준다.

 

PlugX 외에 APT 그룹이 사용하는 감염 체인에는 맞춤형 스테이저, 리버스 쉘, 미터프리터 기반 쉘코드, Cobalt Strike 등이 포함되어 있으며, 모두 스파이 활동과 정보 절도를 수행할 의도로 대상에 대한 원격 접속을 확립하는 데 사용된다.

 

Talos 연구진은 "아시아와 유럽에서 정상 회담 및 회의를 테마로 한 미끼를 사용하여 스파이 활동과 정보 절도 행위를 할 수 있는 장기적 접근을 목표로 하고 있다"고 말했다.

 

 

 

출처
https://thehackernews.com/2022/05/experts-uncover-new-espionage-attacks.html