ESET(이셋)의 국내 법인 이셋코리아는 우크라이나 침공 및 기타 유럽 문제를 악용하는 사이버 스파이 활동에서 Hodur 악성코드 발견되었다며 주의를 당부했다.
이 사이버 스파이 활동은 최소 2021년 8월로 거슬러 올라가며 2022년 3월 현재도 진행 중이다.
이 캠페인의 배후에 있는 APT 그룹인 ‘Mustang Panda’(무스탕 판다)는 주로 정부와 NGO를 대상으로 하고 있다. 대부분의 피해자는 동아시아와 동남아시아에 있지만 일부는 유럽(그리스, 키프로스, 러시아)과 아프리카(남아프리카, 남수단)에 있다.
알려진 피해자들로는 연구 기관, 인터넷 서비스 제공업체 및 유럽 공관이 있다.
공격 체인은 유럽의 사건과 우크라이나 전쟁과 관련된 자주 업데이트되는 유인 문서를 포함한다.
이 활동은 커스텀 로더를 사용해 Korplug의 새로운 변종인 Hodur를 실행한다.
배포 프로세스의 모든 단계는 분석 방지 기법과 제어 흐름 난독화를 활용하여 다른 활동과 차별화된다.
이셋 리서치는 무스탕 판다 APT 그룹에 의해 이전에 문서화되지 않은 Korplug 변종을 사용해 진행 중인 사이버 스파이 활동을 발견했다.
이 활동은 우크라이나 전쟁 및 기타 유럽 뉴스 주제를 활용한다. 알려진 피해자들로는 주로 동아시아와 동남아시아에 위치한 연구 기관, 인터넷 서비스 제공자(ISP), 유럽 외교 공관이 있다.
이셋 연구진은 이 새로운 Korplug 변종이 2020년에 문서화된 THOR 변종과 유사하기 때문에 Hodur라고 명명했다. 북유럽 신화에서 Hodur는 Thor의 장님 이복 형제다.
이 활동의 피해자는 러시아의 우크라이나 침공과 같은 유럽의 최신 사건을 악용하는 피싱 문서들로 유인될 가능성이 높다. 유엔난민기구(UNHCR)에 따르면 이로 인해 300만 명이 넘는 주민들이 전쟁을 피해 이웃 국가로 피신했으며, 우크라이나 국경에는 전례 없는 위기가 발생했다고 합니다. 이 활동과 관련된 파일 이름 중 하나는 "Ukraine.exe와의 EU 국경 상황"이다.
다른 피싱 유인책에는 업데이트된 코로나19 여행 제한, 그리스에 대한 승인된 지역 지원 지도, 유럽 의회 및 평의회 규정이 언급되어 있다. 최종 유인책은 유럽 평의회 웹사이트에서 볼 수 있는 실제 문서다. 이는 이 활동의 배후에 있는 APT 그룹이 시사 문제를 추적하고 있으며 성공적이고 신속하게 대응할 수 있음을 보여준다.
Hodur를 발견한 ESET 맬웨어 연구원인 Alexandre Côté Cyr는 "이셋 연구진은 코드 유사성과 전술, 기법 및 절차의 많은 공통점을 바탕으로 이 활동을 TA416, RedDelta 또는 PKPLUG라고도 하는 Mustang Panda의 소행으로 보고 있다. 이 단체는 주로 정부 기관과 NGO를 표적으로 삼는 사이버 스파이 그룹이다”라고 설명한다.
Mustang Panda의 피해자는 대부분 몽골을 중심으로 동아시아와 동남아시아에 있다. 이 그룹은 2020년 바티칸을 겨냥한 활동으로도 유명하다.
이셋 연구원이 모든 피해자의 카테고리를 식별할 수는 없지만 이 활동은 다른 Mustang Panda 활동과 동일한 목표를 갖고 있는 것으로 보인다. APT의 전형적인 피해자 유형에 따라, 대부분의 피해자는 유럽 및 아프리카 국가들와 함께 동아시아 및 동남아시아에 있다.
이셋 원격 측정에 따르면 표적의 대다수는 몽골과 베트남에 있고, 미얀마가 그 뒤를 잇고 있으며 그리스, 키프로스, 러시아, 남수단 및 남아프리카공화국 등 일부 국가에만 해당된다. 확인된 분야에는 외교 공관, 연구 기관 및 ISP가 포함된다.
Mustang Panda의 캠페인은 Cobalt Strike, Poison Ivy 및 Korplug(PlugX라고도 함)를 비롯한 공유 맬웨어에 대해 커스텀 로더를 자주 사용한다. 이 그룹은 자체 Korplug 변종을 만드는 것으로도 알려져 있습니다. Côté Cyr는 "Korplug를 사용하는 다른 캠페인과 비교할 때 배포 프로세스의 모든 단계에서 안티 분석 기술과 제어 흐름 난독화를 활용하여 맬웨어 연구원들이 조사를 더 어렵게 만든다"라고 결론지었다.
★정보보안 대표 미디어 데일리시큐!★
