팔로우 
피싱은 사이버 범죄자들이 시급한 인도적 주제, 신뢰할 수 있는 온라인 자원, 그리고 합법적인 시스템 도구를 이용하여 피해자 참여를 증가시킬 때 특히 효과적인 전술로 남아 있습니다. Europol은 피싱이 여전히 데이터 탈취 악성코드의 주요 전달 벡터로 사용된다고 언급합니다. 이러한 패턴은 CERT-UA가 추적한 최신 활동에 명확하게 반영되어 있으며, 위협 행위자들은 인도적 지원을 주제로 한 미끼와 다단계 악성코드 전달을 통해 우크라이나 조직을 대상으로 하였습니다.
한 CERT-UA 기사에서 연구자들은 지방 자치체, 공공 의료 기관 및 우크라이나 방위군 대표자들을 대상으로 하는 UAC-0247 캠페인을 설명했습니다. 이 작전은 결국 AGINGFLY와 관련 악성 도구를 배포했으며, 피싱, 속임수를 이용한 웹 전달 및 합법적인 Windows 유틸리티 악용을 결합하여 접근을 설정하고 후속 침해를 지원했습니다.
CERT-UA의 최신 보고서는 피싱에 의해 주도된 침입의 또 다른 물결이 우크라이나 민간 및 잠재적으로 방위와 인접한 부문을 대상으로 한다는 것을 강조합니다. 다음 캠페인은 기사에서 설명되었습니다. 이 공격에서는 위협 행위자들이 인도적 지원을 주제로 한 이메일을 사용하여 피해자들이 악성 콘텐츠를 열도록 유도했으며, 이는 결국 AGINGFLY를 배포했습니다. AGINGFLY는 원격 액세스, 자격 증명 탈취 및 후속 침해 후 활동과 관련된 악성코드 계열입니다. 관찰된 표적에는 지방 자치체, 공공 의료 기관, 임상 및 긴급 병원을 포함하며, FPV 드론 운영과 관련된 개인이 포함될 가능성이 있습니다.
SOC Prime 플랫폼에 가입하여 조직을 UAC-0247 공격으로부터 적극적으로 방어하세요. 아래의 탐지 탐색을 눌러 AI 네이티브 CTI로 풍부해진 관련 탐지 규칙 스택에 접근하고, MITRE ATT&CK® 프레임워크에 매핑하여 다양한 SIEM, EDR 및 데이터 레이크 기술과 호환 가능합니다.
보안 팀은 Threat Detection Marketplace에서 “UAC-0247” 태그를 사용하여 관련 탐지를 식별하고 관련 콘텐츠 업데이트를 모니터할 수 있습니다. 사이버 수비자들은 또한 Uncoder AI를 활용하여 원시 위협 정보를 성능 최적화된 쿼리로 변환하고, 규칙 논리를 문서화 및 개선하며, 최신 CERT-UA 보고 기반 공격 흐름을 생성할 수 있습니다.
인도적 주제의 피싱 미끼를 통한 UAC-0247 공격 분석
CERT-UA에 따르면, 공격 체인은 인도적 지원 제안으로 가장한 피싱 이메일에서 시작되었습니다. 피해자들은 링크를 클릭하도록 유도되었으며, 이는 크로스 사이트 스크립팅(XSS)을 통해 손상된 합법적인 웹사이트나 AI 도구로 생성된 가짜 웹사이트로 리디렉션되었습니다. 두 시나리오 모두에서 목표는 피해자가 악성 LNK 파일이 포함된 아카이브를 다운로드하고 열도록 유도하는 것이었습니다.
시작되면 바로가기 파일은 mshta.exe를 악용하여 원격 HTA 파일을 가져와 실행했습니다. HTA는 피해자를 산만하게 하기 위해 현혹용 양식을 표시하는 동시에 RuntimeBroker.exe와 같은 합법적인 프로세스에 쉘코드를 주입하는 실행 파일을 다운로드했습니다. CERT-UA는 캠페인의 최근 단계가 2단계 로더에 의존했으며, 두 번째 단계에서는 독자적인 실행 파일 형식을 사용하고 최종 페이로드는 감지 및 분석을 어렵게 하도록 추가로 압축 및 암호화되었다고 언급했습니다.
캠페인에서 식별된 다음 단계의 구성 요소 중에는 역셸 스타일의 스테이저로 작용한 RAVENSHELL, 명령을 실행하고 지휘 통제 데이터를 획득할 수 있는 PowerShell 기반 도구 SILENTLOOP, 운영에서 사용된 주요 악성코드 계열 AGINGFLY가 포함되었습니다. CERT-UA 연관 보고서는 AGINGFLY가 원격 제어, 데이터 절도 및 후속 침해 활동을 위해 설계되었다고 나타냅니다.
캠페인은 또한 자격 증명 절도, 정찰, 측면 이동을 지원했습니다. 조사관들은 Chromium 기반 브라우저에서 데이터를 추출하고, 메시징 관련 데이터에 접근하고, 내부 네트워크를 스캔하고, 침해된 환경 전반에 트래픽을 터널링하는 도구의 사용을 관찰했습니다. 조사된 사례 중 하나에서는 포렌식 증거가 우크라이나 방위군 대표자들이 Signal을 통해 배포된 악성 ZIP 아카이브에 의해 표적이 되었을 수 있음을 시사했습니다. 이는 DLL 사전 로딩을 통해 AGINGFLY를 배포하도록 설계되었습니다.
이러한 활동에 대한 노출을 줄이기 위해 CERT-UA는 LNK, HTA 및 JS와 같은 위험한 파일 형식의 실행을 제한하고 mshta.exe, powershell.exe 및 wscript.exe와 같은 감염 체인에서 자주 악용되는 기본 Windows 도구의 사용을 제한하거나 면밀히 모니터링할 것을 권장합니다.
MITRE ATT&CK 컨텍스트
MITRE ATT&CK을 활용하면 최신 UAC-0247 활동의 맥락을 이해하는 데 도움이 됩니다. 보고된 TTPs에 기반한 가장 관련성 높은 기법으로는 피싱: 스피어피싱 링크(T1566.002), 명령 및 스크립팅 인터프리터, 프로세스 주입(T1055), 웹 프로토콜 / 웹소켓을 통한 C2, 자격 증명 액세스, 터널링 및 프록시를 통한 측면 이동 등이 있습니다. 이 매핑은 피싱 미끼, 속임수 웹 전달, LNK에서 HTA로의 실행, 쉘코드 주입, AGINGFLY 배포 및 후속 자격 증명 절도와 내부 정찰을 반영합니다.
