중국 기반의 사이버 스파이 그룹인 Mustang Panda가 새로운 전략과 악성 소프트웨어인 FDMTP와 PTSOCKET을 사용하여 네트워크에서 정보를 도난하고 페이로드를 다운로드하는 새로운 공격을 했다는 것이 밝혀졌습니다. 이 그룹은 주로 아시아-태평양 지역의 정부 및 비정부 기관을 대상으로 사이버 스파이 활동을 진행하지만, 다른 지역의 조직들도 그들의 공격 대상에 포함되어 있습니다. 이번 공격에서는 HIUPAN 웜의 변형을 사용하여 네트워크의 이동식 드라이브를 통해 PUBLOAD 악성 소프트웨어를 전달하였습니다.
HIUPAN은 모든 파일을 숨겨진 디렉토리로 이동시키고, 사용자가 실행하도록 속이기 위해 드라이브에 "USBConfig.exe"라는 합법적인 파일만 남겨두어 자신의 존재를 숨깁니다. PUBLOAD는 공격에서 주요 제어 도구로 사용되며, DLL 사이드로딩을 통해 시스템에서 실행되고, Windows 레지스트리를 수정하여 지속성을 확보한 후 네트워크를 매핑하는 특정 명령을 실행합니다. Mustang Panda는 또한 FDMTP라는 새로운 악성 소프트웨어도 사용하였는데, 이는 보조 제어 도구로 작동하며, DLL의 데이터 섹션에 포함되어 있어 DLL 사이드로딩을 통해 배포될 수 있습니다.
최근 Mustang Panda의 공격에서는 데이터 수집이 RAR 아카이브에서 이루어지며, 특정 날짜 이후의 .DOC, .DOCX, .XLS, .XLSX, .PDF, .PPT, .PPTX 파일을 대상으로 합니다. 이 그룹은 PUBLOAD를 사용하여 cURL 도구를 통해 정보를 추출하며, TouchSocket을 기반으로 한 사용자 정의 PTSOCKET 파일 전송 도구를 통한 대체 방법도 있습니다.
요약
- 중국 기반의 사이버 스파이 그룹 Mustang Panda가 새로운 전략과 악성 소프트웨어를 사용하여 네트워크에서 정보를 도난하고 페이로드를 다운로드하는 새로운 공격을 진행하였다.
- 이번 공격에서는 HIUPAN 웜의 변형을 사용하여 네트워크의 이동식 드라이브를 통해 PUBLOAD 악성 소프트웨어를 전달하였다.
- Mustang Panda는 또한 FDMTP라는 새로운 악성 소프트웨어도 사용하였으며, 이는 보조 제어 도구로 작동한다.
- 최근 Mustang Panda의 공격에서는 데이터 수집이 RAR 아카이브에서 이루어지며, 특정 날짜 이후의 .DOC, .DOCX, .XLS, .XLSX, .PDF, .PPT, .PPTX 파일을 대상으로 한다.
- 이 그룹은 PUBLOAD를 사용하여 cURL 도구를 통해 정보를 추출하며, TouchSocket을 기반으로 한 사용자 정의 PTSOCKET 파일 전송 도구를 통한 대체 방법도 있다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.