UAC-0239 활동 탐지: OrcaC2 프레임워크 및 FILEMESS Stealer를 통한 우크라이나 방위군 및 국가 기관 대상의 스피어피싱 공격

CERT-UA는 증가하는 공격 활동의 물결을 감지했습니다. 스피어피싱 을 활용하여 우크라이나의 방위군 및 지방 정부 기관을 대상으로 하고 있습니다. UAC-0239 그룹에 의해 조직된 이 공격은 우크라이나 보안 서비스를 사칭하여 OrcaC2 프레임워크와 FILEMESS 스틸러를 사용하여 대상 조직을 침해합니다.

CERT-UA#17691 경고에 포함된 UAC-0239 공격 탐지

에 따르면 체크 포인트 리서치의 2025년 2분기 브랜드 피싱 보고서에 따르면, 2025년 하반기에는 피싱 이 주요 사이버 범죄 수법으로 남아 있으며, 공격자들은 점점 더 세계적으로 신뢰받는 브랜드를 사칭하여 수백만 명의 사용자를 대상으로 하고 있습니다. 점점 더 정교하고 복잡해지는 주요 인프라와 정부 부문을 겨냥한 공격 캠페인 가운데, CISA는 2025–2026 국제 전략 계획 을 수립하여 세계적 위험 감소 및 회복력 강화 노력을 추진하고 있습니다.

SOC Prime 플랫폼에 등록하여 UAC-0239 해킹 집단과 관련된 증가하는 스피어피싱 사이버 공격에 대한 최신 정보를 받아보세요. SOC Prime 팀은 최근 방위 및 정부 부문을 대상으로 한 해당 그룹의 캠페인에 대한 Sigma 규칙 집합을 발표했으며, 이는 최신 CERT-UA 경고에 포함되어 있습니다. ” 탐지 탐색 ” 버튼을 클릭하여 AI-native CTI로 풍부해진 관련 탐지를 접속할 수 있으며, 이는 MITRE ATT&CK® 프레임워크에 매핑되고 여러 SIEM, EDR 및 데이터 레이크 기술과 호환됩니다. 

탐지 탐색

보안 엔지니어는 또한 “CERT-UA#17691” 태그를 사용하여 관련 CERT-UA 경고 식별자를 기반으로 직접 탐지 스택을 검색하고 콘텐츠 변경 사항을 추적할 수 있습니다.  UAC-0239 적대 세력 활동과 관련된 공격을 탐지하기 위한 추가 Sigma 규칙을 보안 팀이 더 많은 “UAC-0239” 태그 및 관련 “OrcaC2” 및 “FILEMESS” 태그를 사용하여 위협 행위자가 최신 캠페인에서 사용하는 공격 도구를 해결하도록 TDM 라이브러리를 검색할 수 있습니다.

보안 팀은 또한 Uncoder AI 를 이용하여 원시 위협 보고서에서 탐지를 생성하고, 코드를 문서화하고 최적화하며, 공격 흐름을 생성하고 ATT&CK 태그 예측을 가능하게 할 수 있습니다. 최신 CERT-UA 경고에서 위협 인텔을 활용함으로써, 팀은 IOCs를 자동으로 맞춤형 쿼리로 변환하여 선택한 SIEM 또는 EDR 환경에서 검색할 수 있습니다.

UAC-0239 공격 분석 

2025년 9월 하반기부터, CERT-UA는 여러 우크라이나 지역의 방위군 및 지방 정부 기관을 대상으로 한 UAC-0239 해킹 연합과 연결된 타겟팅된 사이버 공격 시도를 감지했습니다. 해당 CERT-UA#17691 경고 에 있는 악성 캠페인은 ‘러시아 사보타지 정찰 그룹 대응’이라는 주제를 사용하며 발신자를 우크라이나 보안 서비스로 위장합니다. 

공격 흐름은 Ukr.net, Gmail과 같은 서비스를 사용하는 스피어피싱 이메일로 시작합니다. 악성 이메일에는 아카이브를 다운로드할 수 있는 링크가 포함되어 있으며, 때로는 비밀번호로 보호되어 있거나 VHD(가상 하드 드라이브) 파일을 직접 첨부하고 있습니다. 후자는 실행 파일과 여러 유인 문서(일반적으로 PDF)를 포함합니다.

적대 세력은 GitHub에서 소스 코드가 공개된 다목적 Go 기반의 C2 프레임워크인 OrcaC2와 데이터를 Telegram에 유출하는 파일 스틸러인 FILEMESS를 활용합니다. 

FILEMESS 맬웨어의 핵심 기능은 “바탕화면”, “다운로드”, “문서” 폴더 및 논리 드라이브 D–Z에서 지정된 확장의 파일을 재귀적으로 검색하고; 발견된 파일의 MD5 해시를 계산하며; Telegram API를 통해 파일을 유출합니다. 맬웨어는 다양한 문서, 스프레드시트, 프레젠테이션, 아카이브 및 디자인 포맷을 아우르는 긴 리스트와 JPG, JPEG와 같은 3개의 사용자 폴더에만 적용되는 짧은 리스트를 사용합니다. pdf, txt, csv, jpg/jpeg, png, tif/tiff, webp, zip또는 기타 포맷. 지속성은 OS 레지스트리에 Run 키를 추가하여 얻어집니다. Telegram API 자격 증명은 XOR 암호화되어 Base64로 인코딩됩니다. 여러 동시 인스턴스를 방지하기 위해 프로그램은 기존 프로세스를 체크합니다.

OrcaC2는 RCE, 대화형 셸, 파일 전송, 스크린샷, 키로깅, 프로세스 제어(메모리 덤프 포함), UAC 우회, 쉘코드 실행, 다중 프로세스-인젝션 기법, 프록시 지원, SOCKS, 트래픽 터널링(SSH, SMB), 포트 스캐닝, 비밀번호 무차별 대입 등을 수행할 수 있습니다. 관찰되었거나 가능한 지속성 메커니즘에는 예약 작업, Run 레지스트리 항목 및 서비스가 포함됩니다.

MITRE ATT&CK 컨텍스트

MITRE ATT&CK을 활용하면 우크라이나를 대상으로 하는 지속적인 UAC-0239 악성 캠페인에 대한 심층적인 인사이트를 제공합니다. 아래 표에는 관련 ATT&CK 전술, 기술 및 하위 기술과 매핑된 모든 Sigma 규칙이 표시됩니다.