팔로우 
요약
CERT-UA로 가장한 피싱 캠페인은 비밀번호로 보호된 아카이브에 AGEWHEEZE 원격 액세스 도구를 포함하여 배포했습니다. Go로 작성된 이 악성코드는 감염된 시스템의 전체 원격 제어를 가능하게 하며, 여기에는 화면 캡처, 입력 에뮬레이션, 파일 작업, 지속성이 포함됩니다. 명령 제어 트래픽은 포트 8443에서 수신 대기 중인 OVH 서버로 WebSockets을 통해 전달됩니다. 타깃이 된 피해자에는 우크라이나 정부 기관, 의료 기관, 금융 기관, 교육 기관이 포함되었습니다.
조사
CERT-UA 연구원들은 피싱 이메일, 허위 웹사이트 cert-ua.tech, 악성 바이너리를 수집하여 분석했습니다. 정적 검토를 통해 지속성이 사용된 RAT 관련 파일 경로, 예약된 작업, 레지스트리 자동 실행 항목을 발견했습니다. 네트워크 분석에서는 OVH에 위치한 자체 서명된 인증서와 54.36.237.92:8443에 있는 WebSocket 수신기를 통해 C2 서버가 식별되었습니다. 이 활동은 사건 UAC-0255로 추적되었습니다.
완화 조치
조직은 CERT-UA를 사칭하는 미지의 발신자로부터 메시지를 차단하고, %APPDATA% 위치에서 시작된 파일 실행을 방지하며, 설명된 예약 작업 및 레지스트리 실행 키를 모니터링해야 합니다. 네트워크 제어는 식별된 C2 IP 및 관련 도메인으로의 아웃바운드 연결을 차단해야 합니다. 최소 권한 액세스 정책과 최신 바이러스 정의 업데이트도 시행되어야 합니다.
대응
보안 담당자는 AGEWHEEZE 바이너리, 예약 작업 SvcHelper 및 CoreService, 관련 레지스트리 실행 항목을 탐지해야 합니다. 영향을 받은 시스템은 격리하고, 휘발성 증거를 수집하며, 전체 악성코드 분석을 수행해야 합니다. 관련된 국가 CERT에 통보하고 모든 추출된 IOC로 탐지 콘텐츠를 업데이트해야 합니다.
공격 흐름
탐지
DNS를 통해 서드파티 서비스/도구로의 데이터 침입/유출/C2 가능성
보기
의심스러운 예약 작업 (기록 감사)
보기
프록시를 통한 서드파티 서비스/도구로의 데이터 침입/유출/C2 가능성
보기
희귀 이미지 파일을 통한 의심스러운 예약 작업 파일 접근 (파일 이벤트)
보기
레지스트리 이벤트를 통한 비밀번호 보호된 RAR 아카이브 열 가능성
보기
RAR 아카이브로부터 실행 [WinRAR] (프로세스 생성)
보기
탐지할 IOC(해시Sha256): AGEWHEEZE 도구를 사용해 CERT-UA 통지로 가장한 사이버 공격 UAC-0255
보기
탐지할 IOC(원본IP): AGEWHEEZE 도구를 사용해 CERT-UA 통지로 가장한 사이버 공격 UAC-0255
보기
탐지할 IOC(해시Sha1): AGEWHEEZE 도구를 사용해 CERT-UA 통지로 가장한 사이버 공격 UAC-0255
보기
탐지할 IOC(해시Md5): AGEWHEEZE 도구를 사용해 CERT-UA 통지로 가장한 사이버 공격 UAC-0255
보기
탐지할 IOC(목적지IP): AGEWHEEZE 도구를 사용해 CERT-UA 통지로 가장한 사이버 공격 UAC-0255
보기
AGEWHEEZE RAT 명령 및 제어 통신 탐지 [Windows 네트워크 연결]
보기
AGEWHEEZE RAT 설치 경로 탐지 [Windows 파일 이벤트]
보기
시뮬레이션 실행
전제 조건: 텔레메트리 및 기준 사전 검사 통과
이유: 이 섹션에서는 탐지 규칙을 트리거하기 위해 고안된 적수 기술(T1059)의 정확한 실행을 자세히 설명합니다. 명령과 서술은 확인된 TTP를 직접 반영하고 탐지 논리에 의해 기대되는 정확한 텔레메트리를 생성하는 것을 목표로 해야 합니다.
-
공격 내러티브 및 명령:
이미 사용자의 세션을 탈취한 공격자는 AGEWHEEZE RAT를 설치하여 지속성을 확보하고자 합니다. 그들은 사용자의%APPDATA%SysSvc디렉토리에 RAT 바이너리를 복사한 후 명령 줄 인터프리터를 통해 실행합니다. 바이너리의 전체 경로가 Sigma 규칙의 하드코딩된 선택자 중 하나와 일치하기 때문에 Sysmon이 프로세스 생성을 기록하여 규칙이 발동됩니다. -
회귀 테스트 스크립트: (침해된 사용자로 실행)
# --------------------------------------------------------- # AGEWHEEZE RAT 드롭 및 실행을 시뮬레이션하여 탐지 테스트 수행 # --------------------------------------------------------- # 1. 타깃 설치 경로 정의 (탐지 선택자 중 하나) $targetDir = "$env:APPDATASysSvc" $targetExe = "SysSvc.exe" $fullPath = Join-Path -Path $targetDir -ChildPath $targetExe # 2. 디렉토리 존재 여부 확인 if (-not (Test-Path -Path $targetDir)) { New-Item -ItemType Directory -Path $targetDir -Force | Out-Null } # 3. 더미 실행 파일 생성 (여기서는 stand-in으로 notepad.exe를 복사) $sourceExe = "$env:SystemRootSystem32notepad.exe" Copy-Item -Path $sourceExe -Destination $fullPath -Force # 4. 스크린의 숨김 스타일로 복사된 바이너리 실행 (RAT 실행 시뮬레이션) Start-Process -FilePath $fullPath -WindowStyle Hidden # 5. 선택 사항: 검증을 위해 콘솔에 마커 기록 Write-Host "AGEWHEEZE RAT 시뮬레이션이 $fullPath에서 실행되었습니다" # --------------------------------------------------------- -
정리 명령: (검증 후 실행)
# --------------------------------------------------------- # AGEWHEEZE RAT 시뮬레이션 아티팩트 정리 # --------------------------------------------------------- $targetDir = "$env:APPDATASysSvc" $targetExe = "SysSvc.exe" $fullPath = Join-Path -Path $targetDir -ChildPath $targetExe # 더미 exe를 일치시키는 남아있는 프로세스 종료 Get-Process -Name "notepad" -ErrorAction SilentlyContinue | Where-Object { $_.Path -eq $fullPath } | Stop-Process -Force # 이진 파일 및 해당 폴더 제거 Remove-Item -Path $fullPath -Force -ErrorAction SilentlyContinue # 디렉토리가 비어 있으면 폴더 제거 if ((Get-ChildItem -Path $targetDir -Force | Measure-Object).Count -eq 0) { Remove-Item -Path $targetDir -Force } Write-Host "정리 완료." # ---------------------------------------------------------