SOC Prime Bias: 위험

08 1월 2026 19:22
newspaper icon cert.gov.ua

APT28 그룹의 악성 프로그램 CredoMap_v2를 이용한 사이버 공격 (CERT-UA#4622)

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon 팔로우
APT28 그룹의 악성 프로그램 CredoMap_v2를 이용한 사이버 공격 (CERT-UA#4622)
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


요약

APT28은 UkrScanner.rar이라는 이름의 암호로 보호된 RAR 아카이브를 전달하는 피싱 작업을 실행했습니다. 아카이브 내부에는 CredoMap_v2를 설치하는 자동 압축 풀기(SFX) 실행 파일이 있었습니다. 이 멀웨어는 HTTP POST를 통해 Pipedream 플랫폼에 호스팅된 공격자가 제어하는 인프라로 자격 증명을 훔치고 탈취합니다. 이 사건은 CERT-UA(우크라이나의 국가 CERT)에 의해 공개되었습니다.

조사

CERT-UA는 자신들의 기관을 가장하고 암호로 보호된 RAR 첨부 파일을 포함하는 의심스러운 메시지를 받았습니다. SFX 페이로드를 조사한 결과 CredoMap_v2 바이너리와 그 HTTP 기반 자격 증명 탈취 루틴이 드러났습니다. 분석가들은 eo2mxtqmeqzafqi.m.pipedream.net 및 69.16.243.33으로의 아웃바운드 트래픽을 추적했습니다. 도구 및 인프라를 기반으로 이 활동은 알려진 APT28 위협 그룹의 활동으로 확인되었습니다.

완화

CERT-UA는 악성 Pipedream 도메인과 관련된 IP 주소를 차단했습니다. 사용자는 암호로 보호된 아카이브를 고위험으로 간주하고 신뢰할 수 있는 채널을 통해 발신자 신원을 확인해야 한다고 권고받았습니다. 운영 체제 제어와 엔드포인트 보안 정책을 사용하여 알 수 없는 실행 파일의 실행을 방지하십시오.

대응

사용자에게 피싱 식별 및 발신자 확인을 교육하고, 특히 첨부 파일이 암호로 보호된 경우 더 강화해야 합니다. 의심스러운 아카이브 및 실행 파일에 대한 이메일 필터링을 강화하고, 알려진 적대적 인프라를 차단하십시오. 신뢰할 수 없는 도메인으로의 예상치 못한 POST 요청에 대해 아웃바운드 HTTP 트래픽을 모니터링하고 그와 일치하는 항목이 발견되면 즉시 조사하십시오.

graph TB %% 클래스 정의 classDef action fill:#99ccff classDef file fill:#ffcc99 classDef malware fill:#ff9999 classDef service fill:#ccccff classDef data fill:#ccffcc %% 노드 email_phishing[“<b>행위</b> – <b>T1566.001 피싱</b><br /><b>이름</b>: 스피어피싱 첨부파일<br /><b>세부사항</b>: 비밀번호로 보호된 RAR 파일을 포함한 CERT-UA 사칭 이메일”] class email_phishing action archive_rar[“<b>파일</b> – <b>이름</b>: UkrScanner.rar<br /><b>유형</b>: 비밀번호로 보호된 RAR 압축 파일<br /><b>기법</b>: T1027.015 압축”] class archive_rar file sfx_payload[“<b>악성코드</b> – <b>이름</b>: CredoMap_v2 (SFX)<br /><b>기법</b>: T1027.009 내장 페이로드”] class sfx_payload malware execution[“<b>행위</b> – <b>T1204.002 사용자 실행</b><br /><b>세부사항</b>: 사용자가 RAR 파일을 열고 SFX를 추출하여 실행”] class execution action credential_capture[“<b>행위</b> – <b>T1056.003 입력 캡처</b><br /><b>방법</b>: 웹 포털 자격 증명 수집”] class credential_capture action web_service[“<b>서비스</b> – <b>엔드포인트</b>: eo2mxtqmeqzafqi.m.pipedream.net<br /><b>기법</b>: T1567 웹 서비스를 통한 데이터 유출”] class web_service service exfiltrated_data[“<b>데이터</b> – <b>유형</b>: 탈취된 자격 증명<br /><b>잠재적 사용</b>: T1078 유효한 계정”] class exfiltrated_data data privileged_use[“<b>행위</b> – <b>T1078 유효한 계정</b><br /><b>영향</b>: 탈취된 자격 증명을 사용한 권한 있는 접근”] class privileged_use action %% 연결 email_phishing –>|전달| archive_rar archive_rar –>|포함| sfx_payload sfx_payload –>|일부로 실행| execution execution –>|자격 증명 수집| credential_capture credential_capture –>|데이터 전송| web_service web_service –>|수신| exfiltrated_data exfiltrated_data –>|가능하게 함| privileged_use

공격 흐름

탐지

관련 파일 탐지에 의한 APT28 의심스러운 초기 접근(파일 이벤트를 통해)

Sohan G
2024년 5월 24일

보기

의심스러운 SQLite.Interop 라이브러리 사용(이미지 로드 경유)

SOC Prime 팀
2026년 1월 7일

보기

탐지 가능한 IOC (HashSha256): APT28 그룹이 사용한 악성 프로그램 CredoMap_v2(CERT-UA#4622)를 사용한 사이버 공격

SOC Prime AI 규칙
2026년 1월 7일

보기

탐지 가능한 IOC (HashMd5): APT28 그룹이 사용한 악성 프로그램 CredoMap_v2(CERT-UA#4622)를 사용한 사이버 공격

SOC Prime AI 규칙
2026년 1월 7일

보기

탐지 가능한 IOC (HashSha1): APT28 그룹이 사용한 악성 프로그램 CredoMap_v2(CERT-UA#4622)를 사용한 사이버 공격

SOC Prime AI 규칙
2026년 1월 7일

보기

탐지 가능한 IOC (SourceIP): APT28 그룹이 사용한 악성 프로그램 CredoMap_v2(CERT-UA#4622)를 사용한 사이버 공격

SOC Prime AI 규칙
2026년 1월 7일

보기

탐지 가능한 IOC (Emails): APT28 그룹이 사용한 악성 프로그램 CredoMap_v2(CERT-UA#4622)를 사용한 사이버 공격

SOC Prime AI 규칙
2026년 1월 7일

보기

탐지 가능한 IOC (DestinationIP): APT28 그룹이 사용한 악성 프로그램 CredoMap_v2(CERT-UA#4622)를 사용한 사이버 공격

SOC Prime AI 규칙
2026년 1월 7일

보기

Pipedream 플랫폼으로의 의심스러운 HTTP POST 요청 [윈도우 네트워크 연결]

SOC Prime AI 규칙
2026년 1월 7일

보기

SFX 파일에서 CredoMap_v2 멀웨어 실행 [윈도우 프로세스 생성]

SOC Prime AI 규칙
2026년 1월 7일

보기

시뮬레이션 실행

전제 조건: 원격 측정 및 기준선 사전 점검(pre-flight check)이 완료되어야 합니다.

이유: 이 섹션은 탐지 규칙을 트리거하도록 설계된 적의 기술(전술, 기술, 절차)의 정확한 실행을 상세히 설명합니다. 명령 및 내러티브는 식별된 TTP를 직접 반영해야 하며 탐지 논리에 의해 예상되는 정확한 원격 측정값을 생성하는 것을 목표로 합니다. 추상적이거나 관련 없는 예제는 오진으로 이어질 수 있습니다.

  • 공격 내러티브 및 명령:
    APT28 운영자가 암호로 보호된 RAR 아카이브를 포함하는 피싱 이메일을 받습니다. 내부에는 UkrScanner.exe라는 자동 압축 풀기(SFX) 실행 파일이 있습니다. UkrScanner.exe. 피해자 기기에서 아카이브를 추출한 후, 운영자는 SFX 스텁을 실행하여 CredoMap_v2 멀웨어를 드롭하고 실행합니다. 실행된 UkrScanner.exe 프로세스 생성 이벤트를 생성하는데, 이는 탐지 규칙과 일치합니다.

    시뮬레이션 단계(테스트 호스트에서 수행):

    1. 더미 실행 파일 생성 UkrScanner.exe (안전을 위해 powershell.exe 의 복사).
    2. 더미 실행 파일을 실행하여 공격자의 SFX 파일 실행을 흉내냅니다.

  • 회귀 테스트 스크립트:

    # ==============================
# SFX(UkrScanner.exe)에서 CredoMap_v2 실행 시뮬레이션
# ==============================
$tempPath = "$env:TEMPUkrScanner.exe"

# 1. 무해한 대리 페이로드 준비(powershell.exe의 복사본)
Copy-Item -Path "$env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe" -Destination $tempPath -Force

# 2. 파일이 실행 가능하도록 보장
Unblock-File -Path $tempPath

# 3. 더미 SFX 스텁 실행(공격자가 파일을 실행하는 것을 시뮬레이션)
Write-Host "더미 SFX 실행 파일 실행 중..."
Start-Process -FilePath $tempPath -ArgumentList "-NoProfile -WindowStyle Hidden" -PassThru

# 4. SIEM 수집을 위해 일시 정지
Start-Sleep -Seconds 5
Write-Host "시뮬레이션 완료. 프로세스 생성이 'UkrScanner.exe'로 끝나는 탐지를 위해 SIEM을 확인하십시오."

  • 정리 명령:

    # 더미 실행 파일(있을 경우)이 시작한 남아 있는 powershell 프로세스 중지
Get-Process -Name "powershell" -ErrorAction SilentlyContinue | Where-Object {$_.Path -like "*UkrScanner.exe"} | Stop-Process -Force

# 더미 실행 파일 제거
$tempPath = "$env:TEMPUkrScanner.exe"
if (Test-Path $tempPath) {
    Remove-Item -Path $tempPath -Force
    Write-Host "정리 완료: $tempPath 제거됨"
}

SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀사의 비즈니스에 가장 중요한 위협에 대한 가시성을 개선하세요. 시작을 돕고 즉각적인 가치를 제공하기 위해 지금 SOC Prime 전문가와의 회의를 예약하세요.

무료 가입