DOPLUGS 백도어

중국과 관련이 있는 위협 행위자인 Mustang Panda는 여러 아시아 국가를 표적으로 삼기 위해 DOPLUGS라고 하는 PlugX( Korplug 라고도 함) 백도어의 맞춤형 변종을 사용했습니다. 이 PlugX 악성 코드의 맞춤형 버전은 완전히 통합된 백도어 명령 모듈이 없다는 점에서 일반적인 변종과 다릅니다. 대신 후자의 모듈을 다운로드하기 위해 특별히 설계되었습니다. DOPLUGS 공격의 주요 초점은 대만과 베트남에 위치한 표적에 맞춰져 있으며, 홍콩, 인도, 일본, 말레이시아, 몽골, 심지어 중국에서는 발생 빈도가 낮습니다.

무스탕 팬더는 10년 이상 활동한 것으로 추정됩니다

BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 및 TEMP와 같은 다양한 별칭으로도 알려진 Mustang Panda는 PlugX를 핵심 도구로 사용합니다. . 이 위협 행위자는 2017년에 대중의 주목을 받았지만 적어도 2012년부터 활동해 왔습니다.

Mustang Panda의 작업 방식에는 다양한 맞춤형 악성 코드를 전달하도록 설계된 정교하게 제작된 스피어 피싱 캠페인을 실행하는 것이 포함됩니다. 2018년부터 위협 행위자는 RedDelta , Thor, Hodur 및 DOPLUGS(SmugX라는 캠페인을 통해 배포됨)를 포함하여 자체 맞춤형 PlugX 버전을 배포하는 것으로 알려져 있습니다.

Mustang Panda가 조직한 타협 체인은 일련의 정교한 전술을 사용합니다. 여기에는 피싱 메시지를 1단계 페이로드의 전달 메커니즘으로 사용하는 것이 포함됩니다. 이 페이로드는 수신자에게 미끼 문서를 제시하는 동시에 DLL 사이드 로딩에 취약한 합법적이고 서명된 실행 파일의 압축을 은밀하게 풀어줍니다. 그런 다음 이 DLL 사이드 로딩 기술을 사용하여 PlugX 악성 코드를 해독하고 실행하는 DLL(동적 링크 라이브러리)을 로드합니다.

PlugX 악성코드는 일단 배포되면 Poison Ivy Remote Access Trojan(RAT) 또는 Cobalt Strike Beacon을 검색하여 Mustang Panda가 제어하는 서버와 연결을 설정합니다. 이 복잡한 일련의 행동은 Mustang Panda 사이버 작전의 진보적이고 지속적인 특성을 강조합니다.

DOPLUGS 백도어는 사이버 범죄 그룹의 악성 코드 무기고에 새로 추가된 것입니다.

2022년 9월 연구원들에 의해 처음 관찰된 DOPLUGS는 4개의 고유한 백도어 명령을 갖춘 다운로더로 작동합니다. 특히 이러한 명령 중 하나는 PlugX 악성 코드의 기존 버전을 쉽게 다운로드할 수 있도록 설계되었습니다.

보안 전문가들은 KillSomeOne 이라는 모듈을 포함하는 DOPLUGS의 변형도 발견했습니다. 이 플러그인은 USB 드라이브를 통한 악성 코드 배포, 정보 수집, 문서 도난 등 다양한 목적으로 사용됩니다.

DOPLUGS의 이 특정 변형에는 추가 실행기 구성 요소가 포함되어 있습니다. 이 구성 요소는 DLL 사이드 로딩 기술을 사용하여 합법적인 실행 파일을 실행합니다. 또한 위협 행위자가 제어하는 서버에서 명령 실행, 다음 단계 악성 코드 다운로드 등의 기능을 지원합니다.

USB 드라이브를 통한 전파를 위해 특별히 설계된 KillSomeOne 모듈을 갖춘 맞춤형 PlugX 변형이 2020년 1월에 infosec 연구원에 의해 발견되었습니다. 이 악성코드는 홍콩과 베트남을 표적으로 한 일련의 공격의 일부로 배포되었습니다.

2023년 말, DOPLUGS를 활용한 대만의 정치, 외교, 정부 기관을 겨냥한 Mustang Panda 캠페인이 공개되었습니다. 공격 작업은 독특한 특징을 보였습니다. 즉, 유해 DLL이 Nim 프로그래밍 언어를 사용하여 제작되었습니다. 이전 버전과 달리 이 새로운 변종은 PlugX 암호 해독을 위해 고유한 RC4 알고리즘 구현을 사용하며, 이는 이전 버전의 Windows Cryptsp.dll 라이브러리의 일반적인 사용과 다릅니다.