우크라이나 정부 기관을 대상으로 한 사이버 공격에서 전달된 AgentTesla 정보 탈취 악성코드

[post-views]
7월 20, 2022 · 3 분 읽기
우크라이나 정부 기관을 대상으로 한 사이버 공격에서 전달된 AgentTesla 정보 탈취 악성코드

러시아의 우크라이나 전면 침공으로 인해 글로벌 사이버 전쟁이 촉발되었고, 이로 인해 우크라이나 정부 기관에 대한 사이버 영역에서의 공격이 지속적으로 증가하고 있습니다. UAC-0056 그룹의 피싱 캠페인 을 통해 Cobalt Strike Beacon을 전달한 지 일주일 만에, 정보 탈취형 악성코드를 사용하는 또 다른 사이버 공격이 우크라이나 관계자를 대상으로 발생하였습니다.  

2022년 7월 20일, CERT-UA 는 사이버 수비대에 우크라이나 정부 기관에 대한 진행 중인 사이버 공격에 대한 경고를 발행하였으며, 이는 전쟁 관련 주제를 악용하고 AgentTesla (Agent Tesla라고도 함)라는 악명 높은 RAT를 유포하였습니다. 감염 체인은 OC South(작전사령부 남부)와 관련된 유인 썸네일이 포함된 악성 파일에 의해 유발됩니다. 그 결과 악성 행위로 손상된 컴퓨터는 AgentTesla 악성코드에 감염될 수 있습니다. 

AgentTesla 스파이웨어란 무엇인가: 우크라이나에 대한 최신 사이버 공격 분석

우크라이나에 대한 지속적인 사이버 전쟁 동안, 적들은 이미 2022년 4월 악성 캠페인에서와 같이 정보 탈취형 악성코드 계열을 적용하였으며, IcedID 트로이목마 를 유포하였습니다. 해당 사이버 공격은 UAC-0041 해킹 집단의 적대적인 활동에 기인하였으며, 이는 또한 AgentTesla 스파이웨어 트로이목마 를 우크라이나에 대한 이전 악성 작업에서도 유포한 것으로 연결됩니다.

CERT-UA 조사에 따르면 CERT-UA의 조사에 따르면, 우크라이나 정부 기관을 대상으로 한 최신 사이버 공격에서도 AgentTesla 샘플이 전달되었습니다. 이 악명 높은 RAT 는 2014년에 사이버 위협 분야에 등장하였으며, 그 이후로 탐지를 회피하기 위한 다양한 고급 기술을 사용하며 지속적으로 발전해왔습니다. AgentTesla는 일반적으로 피싱 공격 벡터를 통해 전달되며, 웹 브라우저와 Microsoft Outlook과 같은 여러 소프트웨어 프로그램으로부터 자격 증명을 탈취할 수 있습니다. 

가장 최근의 상대방 캠페인에서, AgentTesla 정보 탈취기는 목적지 시스템을 추가로 감염시키는 악성 매크로를 활성화하는 PPT 파일을 통해 전달되었습니다. PPT 파일은 러시아-우크라이나 전쟁 주제와 관련된 유인 JPEG 썸네일을 포함하고 있으며, 우크라이나 남부에 위치한 우크라이나 지상군의 형성인 OC South와 관련된 내용을 제공합니다. 파일을 열고 매크로를 활성화하면, 이후에 바로 가기 LNK 파일과 실행 파일을 생성하고 실행하게 됩니다. EXE 파일은 ConfuserEx 자릿수 툴을 적용한 NET 기반 프로그램으로, JPEG 파일을 다운로드하고 데이터를 디코딩 및 압축 해제한 후 손상된 시스템에서 AgentTesla 정보 탈취기를 실행합니다.

CERT-UA#4987 경보에 의해 다루어진 악성 활동 탐지

최근 우크라이나 국가 기관에 분배된 AgentTesla 스파이웨어 트로이목마에 대한 보호를 위해, SOC Prime의 코드 탐지 플랫폼은 전용 Sigma 규칙 셋을 제공하며, 이는 여러 SIEM, EDR, XDR 형식으로 자동 변환될 수 있습니다. 간편한 콘텐츠 검색을 위해 모든 Sigma 규칙은 CERT-UA#4987 태그가 달려 있습니다. 이 탐지 스택에 접근하려면, SOC Prime 플랫폼에 가입하거나 로그인한 후 아래 링크를 따라 진행하세요:

CERT-UA#4987 경보에 의해 다루어진 악성 활동을 탐지하기 위한 Sigma 규칙

조직 환경에서 AgentTesla 악성코드 샘플을 신속하게 식별하기 위해, Detect & Hunt 버튼을 클릭하여 전체 탐지 알고리즘 목록에 접근할 수 있습니다. 또한, 사이버 보안 전문가들은 SOC Prime을 탐색하여 MITRE ATT&CK® 및 CTI 참조와 전용 Sigma 규칙 목록을 포함한 AgentTesla 악성코드와 관련된 최신 위협 컨텍스트를 탐구할 수 있습니다. 포괄적인 위협 관련 정보를 즉시 확인하려면 Explore Threat Context 버튼을 클릭하세요.

Detect & Hunt Explore Threat Context

MITRE ATT&CK® 컨텍스트

CERT-UA#4987 경보에 다루어진 우크라이나에 대한 최신 사이버 공격의 맥락을 살펴보려면, 모든 전용 Sigma 규칙이 MITRE ATT&CK 프레임워크 에 정렬되어 해당 전술 및 기술을 다루고 있습니다:

Tactics 

Techniques

Sigma Rule

Initial Access

Phishing (T1566)

Defense Evasion

Signed Binary Proxy Execution (T1218)

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.
무료 가입하기 미팅 예약하기

관련 게시물

Koske 악성코드 탐지: AI로 생성된 새로운 리눅스 위협 5 분 읽기 최신 위협 Koske 악성코드 탐지: AI로 생성된 새로운 리눅스 위협 by Veronika Telychko AI 위협 인텔리전스 10 분 읽기 SIEM & EDR AI 위협 인텔리전스 by Veronika Telychko 사이버락, Lucky_Gh0$t 및 Numero 탐지: 해커들이 가짜 AI 도구 설치 프로그램을 랜섬웨어 및 멀웨어 공격에 무기로 사용 4 분 읽기 최신 위협 사이버락, Lucky_Gh0$t 및 Numero 탐지: 해커들이 가짜 AI 도구 설치 프로그램을 랜섬웨어 및 멀웨어 공격에 무기로 사용 by Veronika Telychko
모든 뉴스