APT28 그룹의 악성 프로그램 CredoMap_v2를 이용한 사이버 공격 (CERT-UA#4622)
Detection stack
- AIDR
- Alert
- ETL
- Query
요약
APT28은 UkrScanner.rar이라는 이름의 암호로 보호된 RAR 아카이브를 전달하는 피싱 작업을 실행했습니다. 아카이브 내부에는 CredoMap_v2를 설치하는 자동 압축 풀기(SFX) 실행 파일이 있었습니다. 이 멀웨어는 HTTP POST를 통해 Pipedream 플랫폼에 호스팅된 공격자가 제어하는 인프라로 자격 증명을 훔치고 탈취합니다. 이 사건은 CERT-UA(우크라이나의 국가 CERT)에 의해 공개되었습니다.
조사
CERT-UA는 자신들의 기관을 가장하고 암호로 보호된 RAR 첨부 파일을 포함하는 의심스러운 메시지를 받았습니다. SFX 페이로드를 조사한 결과 CredoMap_v2 바이너리와 그 HTTP 기반 자격 증명 탈취 루틴이 드러났습니다. 분석가들은 eo2mxtqmeqzafqi.m.pipedream.net 및 69.16.243.33으로의 아웃바운드 트래픽을 추적했습니다. 도구 및 인프라를 기반으로 이 활동은 알려진 APT28 위협 그룹의 활동으로 확인되었습니다.
완화
CERT-UA는 악성 Pipedream 도메인과 관련된 IP 주소를 차단했습니다. 사용자는 암호로 보호된 아카이브를 고위험으로 간주하고 신뢰할 수 있는 채널을 통해 발신자 신원을 확인해야 한다고 권고받았습니다. 운영 체제 제어와 엔드포인트 보안 정책을 사용하여 알 수 없는 실행 파일의 실행을 방지하십시오.
대응
사용자에게 피싱 식별 및 발신자 확인을 교육하고, 특히 첨부 파일이 암호로 보호된 경우 더 강화해야 합니다. 의심스러운 아카이브 및 실행 파일에 대한 이메일 필터링을 강화하고, 알려진 적대적 인프라를 차단하십시오. 신뢰할 수 없는 도메인으로의 예상치 못한 POST 요청에 대해 아웃바운드 HTTP 트래픽을 모니터링하고 그와 일치하는 항목이 발견되면 즉시 조사하십시오.
공격 흐름
탐지
관련 파일 탐지에 의한 APT28 의심스러운 초기 접근(파일 이벤트를 통해)
보기
의심스러운 SQLite.Interop 라이브러리 사용(이미지 로드 경유)
보기
탐지 가능한 IOC (HashSha256): APT28 그룹이 사용한 악성 프로그램 CredoMap_v2(CERT-UA#4622)를 사용한 사이버 공격
보기
탐지 가능한 IOC (HashMd5): APT28 그룹이 사용한 악성 프로그램 CredoMap_v2(CERT-UA#4622)를 사용한 사이버 공격
보기
탐지 가능한 IOC (HashSha1): APT28 그룹이 사용한 악성 프로그램 CredoMap_v2(CERT-UA#4622)를 사용한 사이버 공격
보기
탐지 가능한 IOC (SourceIP): APT28 그룹이 사용한 악성 프로그램 CredoMap_v2(CERT-UA#4622)를 사용한 사이버 공격
보기
탐지 가능한 IOC (Emails): APT28 그룹이 사용한 악성 프로그램 CredoMap_v2(CERT-UA#4622)를 사용한 사이버 공격
보기
탐지 가능한 IOC (DestinationIP): APT28 그룹이 사용한 악성 프로그램 CredoMap_v2(CERT-UA#4622)를 사용한 사이버 공격
보기
Pipedream 플랫폼으로의 의심스러운 HTTP POST 요청 [윈도우 네트워크 연결]
보기
SFX 파일에서 CredoMap_v2 멀웨어 실행 [윈도우 프로세스 생성]
보기
시뮬레이션 실행
전제 조건: 원격 측정 및 기준선 사전 점검(pre-flight check)이 완료되어야 합니다.
이유: 이 섹션은 탐지 규칙을 트리거하도록 설계된 적의 기술(전술, 기술, 절차)의 정확한 실행을 상세히 설명합니다. 명령 및 내러티브는 식별된 TTP를 직접 반영해야 하며 탐지 논리에 의해 예상되는 정확한 원격 측정값을 생성하는 것을 목표로 합니다. 추상적이거나 관련 없는 예제는 오진으로 이어질 수 있습니다.
-
공격 내러티브 및 명령:
APT28 운영자가 암호로 보호된 RAR 아카이브를 포함하는 피싱 이메일을 받습니다. 내부에는 UkrScanner.exe라는 자동 압축 풀기(SFX) 실행 파일이 있습니다.UkrScanner.exe. 피해자 기기에서 아카이브를 추출한 후, 운영자는 SFX 스텁을 실행하여 CredoMap_v2 멀웨어를 드롭하고 실행합니다. 실행된UkrScanner.exe프로세스 생성 이벤트를 생성하는데, 이는 탐지 규칙과 일치합니다.시뮬레이션 단계(테스트 호스트에서 수행):
- 더미 실행 파일 생성
UkrScanner.exe(안전을 위해powershell.exe의 복사). - 더미 실행 파일을 실행하여 공격자의 SFX 파일 실행을 흉내냅니다.
- 더미 실행 파일 생성
-
회귀 테스트 스크립트:
# ============================== # SFX(UkrScanner.exe)에서 CredoMap_v2 실행 시뮬레이션 # ============================== $tempPath = "$env:TEMPUkrScanner.exe" # 1. 무해한 대리 페이로드 준비(powershell.exe의 복사본) Copy-Item -Path "$env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe" -Destination $tempPath -Force # 2. 파일이 실행 가능하도록 보장 Unblock-File -Path $tempPath # 3. 더미 SFX 스텁 실행(공격자가 파일을 실행하는 것을 시뮬레이션) Write-Host "더미 SFX 실행 파일 실행 중..." Start-Process -FilePath $tempPath -ArgumentList "-NoProfile -WindowStyle Hidden" -PassThru # 4. SIEM 수집을 위해 일시 정지 Start-Sleep -Seconds 5 Write-Host "시뮬레이션 완료. 프로세스 생성이 'UkrScanner.exe'로 끝나는 탐지를 위해 SIEM을 확인하십시오." -
정리 명령:
# 더미 실행 파일(있을 경우)이 시작한 남아 있는 powershell 프로세스 중지 Get-Process -Name "powershell" -ErrorAction SilentlyContinue | Where-Object {$_.Path -like "*UkrScanner.exe"} | Stop-Process -Force # 더미 실행 파일 제거 $tempPath = "$env:TEMPUkrScanner.exe" if (Test-Path $tempPath) { Remove-Item -Path $tempPath -Force Write-Host "정리 완료: $tempPath 제거됨" }