Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향중국 해커, 손상된 MS Exchange 서버에 PlugX 변종 이식
작성일 2021-07-29 조회 56

 


동남아시아를 표적으로 삼는 것으로 알려진 중국의 한 사이버 스파이 그룹은 이전에 문서화되지 않았던 RAT(원격 접근 트로이 목마) 변종을 손상된 시스템에 배포하기 위해 올 3월 초에 밝혀진 Microsoft Exchange Server의 결함을 이용했다.


PKPLUG(일명 Mustang Panda and HoneyMyte)라고 불리는 위협 행위자에 대한 침입을 비난하며 Palo Alto Networks의 42 유닛 위협 정보팀은 침입한 서버 중 하나에 악용 후 도구로 전달된 모듈형 PlugX 악성 프로그램의 새로운 버전을 확인했다고 말했다.

Palo Alto Networks의 Unit 42 위협 인텔리전스팀은 침입을 PKPLUG(일명 Mustang Panda & HoneyMyte)라고 불리는 위협 행위자로 간주하고 악용 후 도구로 전달된 Thor라는 모듈식 PlugX 악성코드의 새로운 버전을 확인했다고 말했다.


일찍이 2008년으로 거슬러 올라가는 PlugX는 파일 업로드, 다운로드 및 수정, 키 입력 기록, 웹캠 제어 및 원격 명령 쉘 접근와 같은 기능을 갖춘 완전한 기능을 갖춘 2단계 임플란트다.


Unit 42 연구진은 화요일 발간된 기술 자료에서 "관찰된 변형은 [...]의 핵심 소스 코드의 변화로 트레이드마크 단어를 'PLUG'에서 'TOR'로 바꾼다는 점에서 독특하다"고 말했다.


"발견된 가장 초기의 THOR 샘플은 2019년 8월의 것으로 리브랜딩 코드의 최초 알려진 사례이며, 향상된 페이로드 전달 메커니즘과 신뢰할 수 있는 이진 파일의 남용을 포함한 새로운 기능이 해당 변종에서 관찰되었다."

 



[그림 1. Aro.dat용 DLL 사이드로딩 개요]

 


3월 2일 Microsoft가 '하프니움(Hafnium)'이라는 코드명으로 불리는 중국 해커들이 프록시로곤(ProxyLogon)으로 알려진 Exchange 서버의 제로데이 버그를 이용해 특정 대상에서 민감한 데이터를 훔치고 있다고 폭로한 후, 랜섬웨어 그룹(Dear Cry와 Black Kingdom)과 암호 채굴 조직(LemonDuck)과 같은 다중 위협 행위자들도 이 결함을 악용하여 Exchange 서버를 가로채고 가장 높은 권한 수준에서 코드 실행을 허용하는 웹 쉘을 설치하는 것이 관찰되다.


Unit 42에 따르면 PKPLUG는 이제 공격자가 제어하는 ​​GitHub에서 겉보기에 무해한 파일(Aro.dat)을 검색하기 위해 BITSAdmin과 같은 합법적인 실행 파일을 활용하여 Microsoft Exchange 서버를 대상으로 하는 바이러스 백신 탐지 메커니즘을 우회하는 목록에 합류했다.


암호화되고 압축된 PlugX 페이로드가 들어 있는 이 파일(Aro.dat)은 Windows 레지스트리의 문제를 정리하고 수정하도록 설계된 무료로 사용할 수 있는 고급 복구 및 최적화 도구를 암시한다.

 

최신 PlugX 샘플에는 "공격자들에게 그들의 목표를 달성하기 위해 손상된 시스템을 모니터링하고 업데이트하며 상호작용할 수 있는 다양한 기능을 제공하는 다양한 플러그인이 장착되어 있다"고 연구진은 말했다. 


PKPLUG에 대한 THOR의 링크는 최근에 발견된 다른 PlugX 샘플 사이에서 탐지된 악의적인 행동의 중복뿐만 아니라 명령 및 제어 인프라를 함께 연결하는 데서 비롯된다.


공격과 관련된 추가적인 타협 지표를 여기에서 확인할 수 있다. 42단위는 또한 관련 PlugX 로더가 없어도 암호화된 PlugX 페이로드의 암호를 해독하고 압축을 풀 수 있는 Python 스크립트를 사용할 수 있게 했다.


Unit 42는 또한 연결된 PlugX 로더 없이 암호화된 PlugX 페이로드를 해독하고 압축을 풀 수 있는 Python 스크립트를 제공했다.

 

 

 

출처

https://thehackernews.com/2021/07/chinese-hackers-implant-plugx-variant.html

첨부파일 첨부파일이 없습니다.
태그 Microsoft Exchange  PlugX  Aro.dat