APT28 Adversary Activity Detection: New Phishing Attacks Targeting Ukrainian and Polish Organizations

2023년 12월 하반기 동안 사이버 보안 연구자들은 우크라이나 정부 기관과 폴란드 조직을 대상으로 한 일련의 피싱 공격을 발견했으며, 이는 악명 높은 러시아 국가 지원 APT28 해킹 집단에 의해 수행되었습니다. CERT-UA는 최근 APT28 공격의 초기 침투부터 한 시간 내에 도메인 컨트롤러에 위협을 가할 수 있는 최신 공격의 심층 개요를 담은 경고를 발표했습니다.

APT28 피싱 공격 설명

2023년 12월 28일, CERT-UA는 보안 경고를 발표했습니다 러시아가 지원하는 국가 차원의 APT28 그룹 (일명 Fancy Bear APT 또는 UAC-0028)이 우크라이나 정부 기관과 폴란드의 여러 조직을 상대로 벌인 새로운 피싱 공격에 대한 내용을 담고 있습니다. 공격자가 보낸 피싱 이메일은 악성 파일로 시스템을 감염시키기 위한 링크를 포함하고 있습니다. 

위의 악성 링크는 표적 사용자를 자바스크립트와 “검색”(“ms-search”) 애플리케이션 프로토콜을 통해 바로 가기 파일을 다운로드하는 웹사이트로 리디렉션합니다. 바로 가기 파일을 열면 원격(SMB) 리소스로부터 다운로드하도록 설계된 PowerShell 명령이 실행되어 페이크 문서, Python 프로그래밍 언어 인터프리터 및 Python 기반 MASEPIE 악성 소프트웨어가 실행됩니다. 후자는 터널링을 위한 OPENSSH, 인터넷 브라우저로부터 데이터를 훔치기 위한 PowerShell 스크립트 STEELHOOK, 백도어 OCEANMAP을 다운로드하고 실행합니다. 또한 초기 침해 순간부터 한 시간 내에 IMPACKET, SMBEXEC, 기타 공격 도구가 생성되어 네트워크 정찰과 추가적인 측면 이동 시도가 용이해집니다.

그룹의 적대적 도구 세트에서 MASEPIE는 파일 전송과 TCP 프로토콜을 이용한 명령 실행을 위한 핵심 기능을 갖춘 Python 기반 악성 소프트웨어입니다. 데이터는 AES-128-CBC 알고리즘을 통해 암호화됩니다. 백도어는 OS 레지스트리의 “Run” 분기에 “SysUpdate” 키와 시작 디렉터리에 LNK 파일을 생성하여 지속성을 유지합니다.

적용된 OCEANMAP 백도어는 IMAP을 사용하여 명령을 실행하는 C# 기반 악성 소프트웨어입니다. 명령은 이메일 초안에 base64로 인코딩됩니다. 이 악성 소프트웨어는 백도어 실행 파일을 패치하고 프로세스를 다시 시작하는 구성 업데이트 메커니즘을 포함합니다. OCEANMAP은 시작 디렉터리에 “VMSearch.url” 파일을 생성하여 지속성을 유지합니다.

관찰된 TTP는 APT28 그룹이 최소한 2021년 6월부터 우크라이나에 대해 스피어 피싱 캠페인을 시작한 이후 일반적인 것이며, 사이버 스파이웨어 악성 소프트웨어를 활용하여 표적 네트워크를 감염시킵니다.

주목할 점은 최신 공격 캠페인은 위협 행위자들이 공격 범위를 확장하고 정보 및 통신 시스템 전체를 감염시키려 하고 있음을 드러냅니다. 따라서 어느 워크스테이션이든 손상되면 전체 네트워크에 위협을 가할 수 있습니다. 

CERT-UA#8399 경고에 포함된 APT28 공격 감지

러시아가 지원하는 APT28 그룹은 사이버 도메인에서 우크라이나 및 그 동맹국을 목표로 새로운 공격 전략을 지속적으로 탐색하고 있습니다. 우크라이나 및 폴란드 조직을 상대로 한 최신 적대적 활동에 대한 CERT-UA#8399 경고 공개와 함께 SOC Prime 플랫폼은 관련 행동 기반 탐지 알고리즘의 선별된 목록을 제공합니다. 아래 링크를 따라 “CERT-UA#8399” 사용자 정의 태그에 의해 필터링된 모든 전용 Sigma 규칙을 자세히 확인하고, 그들의 크로스 플랫폼 번역을 탐색하여 MITRE ATT&CK® 컨텍스트로 빠르게 공격 속성을 확인하세요.

CERT-UA#8399 경고를 바탕으로 APT28 공격을 탐지하기 위한 Sigma 규칙

적극적인 사이버 방어 능력을 강화하기 위해 진보적인 조직은 APT28의 공격 작전과 관련된 전체 탐지 스택을 활용할 수 있습니다. ” 탐지 탐색 “을 눌러 그룹의 적대적 활동에 기인하는 기존 및 새로운 위협을 다루는 70개 이상의 컨텍스트 강화 Sigma 규칙에 도달할 수 있습니다. 

탐지 탐색

보안 엔지니어는 또한 관련 CERT-UA 보고서에서 취약점 지표를 활용하여 Uncoder IO기반의 회고적 IOC 일치를 간소화할 수 있습니다. 탐지 엔지니어링을 위한 오픈 소스 IDE와 함께 팀은 CERT-UA 경고 에서 위협 인텔을 해석하고 사용하는 사이버 보안 언어에 맞춰 커스텀 IOC 쿼리로 변환할 수 있습니다.

MITRE ATT&CK 컨텍스트

MITRE ATT&CK을 활용하면 APT28에 기인하는 공격 작전의 컨텍스트에 대한 세분화된 가시성을 제공합니다. 아래 표를 탐색하여 우크라이나 공공 부문 및 폴란드 조직을 상대로 한 최신 캠페인에서 사용된 ATT&CK 전술, 기술 및 하위 기술에 해당하는 전용 Sigma 규칙의 전체 목록을 확인하세요.