Mustang Panda로 알려진 중국 연계 위협 행위자가 미얀마의 미확인 조직을 대상으로 한 사이버 공격에 새로운 툴을 사용한 것으로 밝혀졌으며 이는 해당 위협 행위자가 자사의 악성코드를 더욱 정교하고 효과적으로 만들기 위해 지속적으로 노력하고 있음을 보여준다.   여기에는 알려진 백도어인 TONESHELL의 업데이트 버전, StarProxy로 명명된 새로운 수평 이동 도구, PAKLOG와 CorKLOG라는 두 개의 키로거, 그리고 SplatCloak으로 불리는 EDR(Endpoint Detection and Response) 우회 드라이버가 포함된다.   보안 연구원은 "Mustang Panda가 사용하는 백도어인 TONESHELL은 FakeTLS 명령-제어(C2) 통신 프로토콜의 변경과 클라이언트 식별자를 생성하고 저장하는 방법의 변경을 포함하여 업데이트되었다."고 말했다.   Mustang Panda는 BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta 등으로도 알려진 중국 정부 후원 위협 행위자로 최소 2012년부터 활동 중이다.   2022년 말 이후로 Mustang Panda가 주도한 캠페인은 다음 단계 페이로드를 다운로드하도록 설계된 맞춤형 악성코드 계열인 TONESHELL을 자주 배포하기 시작했다.   보안 연구소는 다양한 정교함 수준을 가진 세 가지 새로운 악성코드 변종을 발견했다고 밝혔다. 변종 1: 단순한 리버스 셸 역할을 수행함 변종 2: C2에서 DLL을 다운로드하고 이를 합법적인 프로세스(예: svchost.exe)에 주입하여 실행하는 기능을 포함함 변종 3: 파일을 다운로드하고 원격 서버에서 받은 명령을 실행하기 위한 하위 프로세스를 생성하는 기능을 갖추고 있으며 맞춤형 TCP 기반 프로토콜을 사용함 Mustang Panda와 관련된 새로운 소프트웨어로는 StarProxy가 있으며 이는 DLL 사이드로딩을 통해 실행되고 FakeTLS 프로토콜을 활용해 트래픽을 프록시하고 공격자 통신을 지원하도록 설계되었다.   보안 연구원은 "활성화되면, StarProxy는 감염된 장치와 C2 서버 간의 트래픽을 프록시할 수 있게 한다. StarProxy는 TCP 소켓을 사용해 FakeTLS 프로토콜을 통해 C2 서버와 통신하며 맞춤형 XOR 기반 암호화 알고리즘으로 교환되는 모든 데이터를 암호화한다."고 말했다.   "또한 이 도구는 통신에 사용할 IP 주소와 포트를 지정하기 위해 명령줄 인수를 사용하며 이를 통해 공격자는 감염된 시스템을 통해 데이터를 중계할 수 있다."       [그림 1. StarProxy 활동]     StarProxy는 인터넷에 직접 노출되지 않은 내부 워크스테이션에 접근하기 위한 사후 침해(post-compromise) 도구로 배포되는 것으로 보인다.   또한 PAKLOG와 CorKLOG라는 두 개의 새로운 키로거도 확인되었으며 이는 키 입력 및 클립보드 데이터를 모니터링하는 데 사용된다.    두 키로거의 주요 차이점은 후자가 캡처된 데이터를 48자리 RC4 키를 사용해 암호화된 파일에 저장하고 서비스나 예약 작업을 생성하여 지속성을 구현한다는 점이다.   두 키로거 모두 자체적인 데이터 탈취 기능은 없으며, 키 입력 데이터를 특정 위치에 기록하기 위한 목적만 존재하고 위협 행위자는 이를 자신의 인프라로 전송하기 위해 별도의 방법을 사용하는 것으로 보인다.   Mustang Panda의 악성코드 무기고에 새롭게 추가된 마지막 요소는 SplatDropper에 의해 배포되는 Windows 커널 드라이버인 SplatCloak으로 이는 Windows Defender 및 Kaspersky가 구현한 EDR 관련 루틴을 비활성화할 수 있어 탐지를 피할 수 있다.   보안 연구원은 "Mustang Panda는 목표 달성을 위한 신중한 접근 방식을 보여준다. 지속적인 업데이트, 새로운 도구, 다층적인 난독화는 이 그룹의 운영 보안을 연장시키고 공격의 효율성을 높인다."고 말했다.        출처 https://thehackernews.com/2025/04/mustang-panda-targets-myanmar-with.html

    .library-ms 파일을 사용해 NTLM 해시를 노출시키는 Windows 취약점이 현재 정부 기관과 민간 기업을 대상으로 한 피싱 캠페인에서 해커들에 의해 활발히 악용되고 있다.   CVE-2025-24054로 추적되는 이 취약점은 한 회사의 2025년 3월 패치노트에서 수정되었다.    이 공격들에 사용된 IP 주소 중 하나는 과거 러시아 정부 후원 위협 그룹 APT28(‘Fancy Bear’)과 연관된 것으로 알려졌으나, 확실한 소행으로 판단하기에는 충분한 증거가 없다.   NTLM(New Technology LAN Manager)은 Microsoft 인증 프로토콜로 평문 비밀번호 전송 대신 해시를 사용하는 챌린지-응답 방식으로 사용자 인증을 수행한다.   NTLM은 평문 비밀번호 전송을 피하긴 하지만 캡처된 해시에 대한 재생 공격이나 무차별 대입 공격 등 여러 취약점으로 인해 더 이상 안전하다고 간주되지 않는다.   보안 연구소가 확인한 공격에서는 폴란드와 루마니아의 기관을 대상으로 한 피싱 이메일이 발송되었으며 이 이메일에는 Dropbox 링크가 포함되어 있었고 이 링크는 .library-ms 파일이 담긴 ZIP 압축 파일을 가리키고 있었다. library-ms 파일은 합법적인 파일 유형으로 열면 다양한 구성된 소스의 파일 및 폴더를 포함하는 Windows 라이브러리(가상 컨테이너)를 보여준다.   이 피싱 공격에서는 공격자의 SMB 서버 경로가 포함된 library-ms 파일이 생성되었다.       [그림 1. 악성 .library-ms 파일]     ZIP 파일에서 .library-ms 파일을 추출하면 Windows 탐색기는 이를 자동으로 처리하면서 CVE-2025-24054 취약점을 유발하고 Windows가 파일 내 URL로 SMB 연결을 시도하게 된다.   Windows가 원격 SMB 서버에 연결하면 NTLM을 통해 인증을 시도하고 이로 인해 공격자는 사용자의 NTLM 해시를 캡처할 수 있게 된다.   이후 캠페인에서는, 보안 회사가 압축되지 않은 .library-ms 첨부파일을 포함한 피싱 이메일을 발견했다.    단순히 .library-ms 파일을 다운로드하는 것만으로도 원격 서버로의 NTLM 인증이 트리거되어 압축 파일 없이도 해당 취약점이 악용 가능함을 보여주었다.   보안 회사는 "이 취약점은 파일을 열거나 실행하지 않아도 파일을 선택(단일 클릭), 검사(우클릭)하거나 기타 간단한 동작만으로도 트리거된다."고 설명했다.   악성 압축 파일에는 'library-ms' 외에도 'xd.url', 'xd.website', 'xd.link' 등 세 개의 추가 파일이 포함되어 있으며 이들은 이전의 NTLM 해시 노출 취약점을 악용하며 library-ms 방식이 실패할 경우를 대비한 백업 수단으로 포함된 것으로 보인다.   보안 회사는 이번 캠페인에서 사용된 공격자 제어 SMB 서버가 159.196.128[.]120과 194.127.179[.]157 IP 주소였다고 밝혔다.   NTLM 해시를 캡처하면 인증 우회 및 권한 상승으로 이어질 수 있으므로, CVE-2025-24054는 '중간' 수준의 심각도로 평가되었음에도 불구하고 그 잠재적 피해는 심각하다.       출처 https://www.bleepingcomputer.com/news/security/windows-ntlm-hash-leak-flaw-exploited-in-phishing-attacks-on-governments/

    사이버 보안 연구원들이 통신, 금융, 소매 업계를 대상으로 한 사이버 공격의 일환으로 BPFDoor라 불리는 기존 백도어와 관련된 새로운 컨트롤러 컴포넌트를 발견했다.    보안 연구원은 발표한 기술 보고서에서 "이 컨트롤러는 리버스 셸을 열 수 있다. 이는 공격자들이 감염된 네트워크 내에서 더 깊이 침투하여 수평 이동을 가능하게 하고 더 많은 시스템을 제어하거나 민감한 데이터에 접근할 수 있도록 할 수 있다."고 밝혔다.    이번 캠페인은 Earth Bluecrow로 추적되는 위협 그룹의 소행으로 이는 DecisiveArchitect, Red Dev 18, Red Menshen 등으로도 알려져 있으며 중간 수준의 신뢰도로 추정된다.    BPFDoor는 2022년에 처음 알려진 리눅스 백도어로, 아시아와 중동 지역의 기관을 대상으로 한 공격에서 장기적인 스파이 도구로 활용된 악성코드다.    이 악성코드의 가장 두드러진 특징은 위협 행위자들이 장기간에 걸쳐 감염된 워크스테이션을 제어하고 민감한 데이터에 접근할 수 있도록 하는 지속적이고 은밀한 통신 채널을 구축한다는 점이다.   이 기술은 프로그램이 네트워크 필터를 열린 소켓에 연결하여 들어오는 네트워크 패킷을 검사하고 특정 매직 바이트(Magic Byte) 시퀀스를 감지하면 작동하게 만든다.   보안 연구원은 "BPF가 대상 운영 체제에 구현된 방식 때문에, 매직 패킷은 방화벽에 의해 차단되더라도 백도어를 작동시킨다."고 설명했다.    "패킷이 커널의 BPF 엔진에 도달하면 상주 백도어가 활성화된다. 이러한 기능은 일반적으로 루트킷에서 나타나지만 백도어에서는 흔하지 않다."   최신 분석에 따르면, 이번에 타깃이 된 리눅스 서버는 아직 문서화되지 않은 새로운 악성 컨트롤러에도 감염되었으며 이 컨트롤러는 수평 이동 이후 동일 네트워크 내 다른 호스트에 접근하는 데 사용된다.   보안 연구원은 "BPFDoor 악성코드가 삽입한 BPF 필터가 확인하는 '매직 패킷'을 전송하기 전에, 컨트롤러는 사용자에게 비밀번호를 요청하며 이 비밀번호는 BPFDoor 측에서도 검증된다."고 설명했다.   그 다음 단계에서, 컨트롤러는 제공된 비밀번호와 커맨드라인 옵션에 따라 감염된 시스템에 아래 작업 중 하나를 수행하도록 지시한다: 리버스 셸 열기 특정 포트의 셸로 새로운 연결 리디렉션 백도어가 활성 상태인지 확인 컨트롤러가 전송하는 비밀번호는 반드시 BPFDoor 샘플에 하드코딩된 값 중 하나와 일치해야 한다는 점은 주목할 만하다.    이 컨트롤러는 TCP, UDP, ICMP 프로토콜을 모두 지원하여 감염된 호스트를 제어할 수 있으며, 보안을 위한 옵션 암호화 모드도 제공한다.   또한 이 컨트롤러는 직접 모드(direct mode)도 지원하는데, 이는 공격자가 비밀번호를 제공했을 때에 한해 감염된 머신에 직접 연결하여 원격으로 셸을 획득할 수 있도록 해준다.       출처 https://thehackernews.com/2025/04/new-bpfdoor-controller-enables-stealthy.html