우크라이나, 오스트리아, 독일 조직을 겨냥한 피싱 캠페인에서 대량 유포되는 AgentTesla 스파이웨어

[post-views]
9월 01, 2022 · 3 분 읽기
우크라이나, 오스트리아, 독일 조직을 겨냥한 피싱 캠페인에서 대량 유포되는 AgentTesla 스파이웨어

2022년 8월 30일과 31일, CERT-UA 는 우크라이나, 오스트리아, 독일 조직을 대상으로 대량으로 피싱 이메일을 배포하는 적대적 활동이 급증했음을 발표했습니다. 이에 따르면, CERT-UA#5252 경고에 따르면 해커들은 악명 높은 AgentTesla 정보 탈취 악성코드를 퍼뜨리는 이메일 첨부 파일 벡터를 악용하고 있습니다. 이 악성 활동은 UAC-0120으로 추적되는 해킹 집단의 행동 패턴에 기인할 수 있습니다.

AgentTesla 악성코드 배포: UAC-0120에 의한 최신 이메일 캠페인 분석 

세계가 세계 사이버 전쟁에 돌입한 이후, 러시아가 우크라이나에 대한 대규모 침공을 개시했을 때, 러시아 연계 해킹 집단은 사이버 스파이 전쟁과 파괴적인 사이버 공격을 통해 악의적인 활동을 강화하였습니다. 이러한 캠페인의 일환으로 적대자는 IcedID 트로이목마 및 AgentTesla 스파이웨어와 같은 정보 탈취 악성코드 샘플을 활용했습니다. 후자는 감염된 사용자로부터 민감한 데이터를 탈취하기 위해 설계된 널리 사용되는 스파이웨어 트로이목마 중 하나입니다. AgentTesla 악성코드는 UAC-0041 해킹 그룹에 의해 우크라이나에 대한 이전 사이버 공격에서 등장한 것으로 보고되었습니다. 

2022년 8월 31일, CERT-UA는 경고를 발령했습니다 CERT-UA#5252 전 세계 사이버 방어자 커뮤니티에 UAC-0120 해킹 그룹에 의한 새로운 사이버 공격의 물결에 대해 경고하면서 AgentTesla 스파이웨어를 대규모로 퍼뜨리고 있다고 경고했습니다. 적대자는 우크라이나, 오스트리아, 독일의 조직을 대상으로 지속적인 피싱 이메일 캠페인을 시작합니다. 이 이메일에는 피해자가 이를 열어 감염을 퍼뜨리도록 유도하는 피싱 미끼로 사용되는 “Technisches Zeichnen” (“기술 도면”)이라는 이름의 악성 IMG 첨부 파일이 포함되어 있습니다. 이 IMG 미끼는 CHM 파일과 함께 제공되며, 이를 열면 악성 JavaScript 코드가 실행됩니다. 후자는 PowerShell 스크립트를 통해 node.txt 파일을 다운로드하고 실행합니다. 

그 결과, PowerShell 코드는 DLL 및 EXE 파일을 실행하는데, 후자는 AgentTesla 스파이웨어로 감염된 시스템을 감염시킵니다. CERT-UA 연구에 따르면, 유사한 피싱 이메일이 8월 11일에도 전달되었지만, 이메일 주제 및 첨부 파일에 대한 다른 미끼를 사용했었습니다. 

UAC-0120 활동 탐지: AgentTesla 스파이웨어 확산을 방지하는 Sigma 규칙

다양한 해킹 집단의 출현하는 적대적 활동에 대해 미리 방어하기 위해, 사이버 보안 연구원들은 위협 탐지 능력을 향상시키고 위협 사냥 속도를 가속화하기 위한 방법을 모색하고 있습니다. SOC Prime 팀은 독특한 Sigma 규칙 세트를 큐레이팅하며, 이는 AgentTesla 스파이웨어를 유포하는 UAC-0120 그룹의 악성 활동을 탐지하기 위해 만들어졌습니다. 이러한 피싱 캠페인은 우크라이나, 오스트리아, 독일의 여러 조직을 대상으로 하기 때문에, 사이버 방어자들은 조직의 인프라 내에서 감염을 신속하게 식별하고 잠재적 위협을 완화하기 위해 경계를 유지해야 합니다. 

사이버 보안 실무자는 “UAC-0120” 그룹 식별자를 기반으로 관련 위협을 SOC Prime에서 찾아 볼 수 있으며, MITRE ATT&CK® 및 CTI 참조와 같은 통찰력 있는 컨텍스트 메타데이터로 풍부해진 관련 Sigma 규칙에 즉시 접근할 수 있습니다:

AgentTesla 악성코드를 대량으로 유포하는 UAC-0120 그룹의 악성 활동을 탐지하는 Sigma 규칙

모든 Sigma 규칙은 SOC Prime의 Detection as Code 플랫폼에서 사용 가능하며, 지원되는 업계 선도 SIEM, EDR 및 XDR 기술에 적용될 수 있습니다. 

SOC Prime의 사이버 위협 검색 엔진에서 AgentTesla 악성코드 탐지를 위한 컨텍스트가 풍부해진 Sigma 규칙에 즉시 접근할 수 있습니다. 탐지 탐색 버튼을 클릭하고, 포괄적인 컨텍스트 정보와 함께 심층적인 위협 조사를 위한 관련 탐지 콘텐츠를 심화 탐구하세요. 단순한 탐지 규칙 이상이 필요하십니까? 선불 잔액이 포함된 요구형 Detection as Code를 통해 최대 유연성을 제공합니다.

탐지 탐색 계획 선택

MITRE ATT&CK® 컨텍스트

모든 전용 Sigma 규칙은 MITRE ATT&CK® 프레임워크와 연계되어 있으며, UAC-0120 그룹의 지속적인 이메일 캠페인의 배후 MITRE ATT&CK 컨텍스트를 즉시 파악할 수 있도록 사이버 보안 전문가에게 통찰력을 제공합니다:

발전하는 위협을 앞서나가는 SOC Prime 플랫폼의 최신 및 가장 관련성 높은 Detection-as-Code 콘텐츠에 대한 수요형 접근을 통해 이익을 얻으세요. 수요형 구독 계획 을 선택하고 위협 연구 및 탐지 콘텐츠 개발에 최대 2,200시간을 절약하면서 SOC 팀 자원의 가치를 극대화하세요. 

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.
무료 가입하기 미팅 예약하기

관련 게시물

Koske 악성코드 탐지: AI로 생성된 새로운 리눅스 위협 5 분 읽기 최신 위협 Koske 악성코드 탐지: AI로 생성된 새로운 리눅스 위협 by Veronika Telychko AI 위협 인텔리전스 10 분 읽기 SIEM & EDR AI 위협 인텔리전스 by Veronika Telychko 사이버락, Lucky_Gh0$t 및 Numero 탐지: 해커들이 가짜 AI 도구 설치 프로그램을 랜섬웨어 및 멀웨어 공격에 무기로 사용 4 분 읽기 최신 위협 사이버락, Lucky_Gh0$t 및 Numero 탐지: 해커들이 가짜 AI 도구 설치 프로그램을 랜섬웨어 및 멀웨어 공격에 무기로 사용 by Veronika Telychko
모든 뉴스