전체 글2130 중국 해커 그룹 Mustang Panda 1. 개요Mustang Panda는 중국 정부의 지원을 받는 것으로 추정되는 대표적인 APT(Advanced Persistent Threat) 공격 그룹으로 약 2014년부터 현재까지 10년 이상 장기간에 걸쳐 공격 활동을 수행하고 있으며 외교, 국방 및 정부 기관 등을 주요 공격 대상으로 삼는다. 주로 스피어 피싱을 초기 접근 수단으로 사용해 DOC 등의 문서형 파일과 압축 아카이브 파일로 유포하고 DLL 사이드로딩 기법으로 악성 페이로드를 실행한다. 초기 접근 이후에는 백도어 및 정보 탈취형 악성코드를 실행해 내부 시스템에 장기간 잠복하며 지속적인 정보 수집과 공격자 C&C 서버와의 암호화된 통신으로 추가 악성 명령을 수행하거나 정보 탈취를 시도한다. 이 그룹은 수년간 PlugX, ToneShell .. 2025. 12. 24. Yokai 백도어를 유포하는 SnakeDisk 웜 SnakeDisk 는 Mustang Panda 가 사용하는 USB 웜으로써 실행 시 전달되는 커맨드 인자에 따라 USB 감염 동작을 수행하거나 Yokai 백도어를 드롭해 실행할 수 있다. USB 감염 시 지리적 조건, 암호화된 설정 파일이 필요하며 감염 조건이 만족되면 시스템에 연결되는 USB 의 본래 파일들을 숨기고 최상위 경로에 SnakeDisk 와 실행 파일만 남겨 사용자의 실행을 유도한 SnakeDisk 는 바코드를 읽는 프로그램 Barcode Reader SDK 의 실행 파일 중 하나인 “SDTBarcode.dll” 파일로 위장하고 있다. Barcode Reader SDK 의 구성 파일 중 하나인 “SDTBarcodeDemo.exe” 는 실행 시 “SDTBarcode.dll” 파일을 로딩하는 .. 2025. 12. 24. USB를 감지해 전파하는 HIUPAN 웜 U2DiskWatch, MISTCLOAK 라는 이름으로도 알려진 HIUPAN 은 Mustang Panda 가 사용하는 USB Worm 이다. 이 악성 파일은 DLL 파일로 정상 EXE 파일이 실행됨에 따라 악성코드를 로딩하는 DLL 사이드로딩 기법을 이용해 실행된다. 로딩된 악성 코드는 감염된 Windows 시스템에서 실행된 경우 주기적으로 시스템에 연결되는 USB 를 탐지 및 감염시키며 USB 에서 실행된 경우 연결된 Windows 시스템을 감염시키고 함께 복사된 Payload 악성 파일을 실행한다. HIUPAN은 정상 파일인 “UsbConfig.exe”의 구성요소인 “u2ec.dll”로 위장해 실행된다. “u2ec.dll” 은 이동식 디스크에서 실행될 시 연결된 시스템의 ‘C:\ProgramData.. 2025. 12. 24. 태국을 대상으로 유포되는 Yokai 백도어 Yokai 백도어는 2024년 12월 처음 등장했으며 태국을 대상으로 미국 법무부 및 협력 요청 등의 문서로 위장한 LNK 파일 형태로 유포됐다. 해당 LNK 파일의 ADS(Alternate Data Stream) 영역에 Yokai 백도어가 포함돼 있었으며 LNK 파일 실행 시 ADS 영역에서 악성 파일을 추출한 후 DLL 사이드로딩을 이용해 실행하는 방식이 사용됐다. 2025년 8월에는 Yokai 백도어 유포에 SnakeDisk라는 USB 웜 악성코드가 사용되기도 했다. ADS를 이용한 방식과 SnakeDisk로 유포되는 두 가지 방식 모두 정상적인 EXE 파일에 DLL 형태의 Yokai 백도어를 DLL 사이드로딩을 이용해 실행하는 공통점을 가지고 있으며 해당 EXE 파일과 DLL 파일을 전달하는 과정.. 2025. 12. 24. DLL 사이드 로딩으로 실행하는 ToneShell 백도어 ToneShell은 백도어 악성코드로 2022년 말에 처음 발견됐으며 주로 동남아시아 지역을 대상으로 삼으며 올해 7월까지 공격에 사용됐다. 이 보고서에서 분석할 샘플은 가장 최근에 등장한 ToneShell 샘플 3종을 대상으로 한다. ToneShell은 DLL 파일 형태로 정상 파일과 함께 압축 파일 형태로 유포돼 DLL 사이드로딩으로 실행되며 공격자의 C&C 서버에서 수신되는 명령어와 C&C 서버와 통신할 때에 사용되는 데이터 암호화 키 생성 방식이 조금씩 변경돼왔다. 이 악성코드는 RAR 아카이브 파일로 유포되며 사용자에게 압축 파일 내부의 run.bat 파일 실행을 유도한다. run.bat 파일은 함께 압축돼있던 정상 파일에 인자 값을 지정해 실행하며 이때 같은 경로 내의 악성 DLL인 Tone.. 2025. 12. 24. 중국 해커그룹 Mustang Panda, Pubload 백도어 유포 Pubload 악성코드는 2022년 2월 처음 등장해 Bespoke Stager라는 이름으로 보고됐으며 러시아 및 유럽을 대상으로 우크라이나 분쟁과 NATO 관련 보고서로 위장해 유포됐다. 문서 파일로 위장한 EXE를 실행하면 DLL 사이드로딩 방식을 활용해 Pubload가 로드되고 공격자의 C&C 서버와 통신해 악성 동작을 수행한다. 이후에도 Pubload는 지속적으로 다양한 Mustang Panda의 활동에서 발견됐으며 유포 방식은 대부분 국제적인 이슈를 다루는 보고서 및 문서로 위장하는 형태를 채택하고 있다. Pubload는 실행 시 입력된 파라미터가 특정 문자열(ex - “EdgeBLA”)와 비교해 일치하지 않으면 EXE 및 DLL 파일을 ProgramData 경로에 복사하고 Run 레지스트리.. 2025. 12. 24. 이전 1 2 3 4 ··· 355 다음
