APT28, UAC-0001 그룹, 우크라이나 국가 기관을 대상으로 OS 업데이트 지침으로 위장한 피싱 이메일 활용

악명 높은 러시아 정부가 지원하는 해킹 집단으로 추적되는 APT28 또는 UAC-0001은, 우크라이나 정부 기관을 대상으로 한 정밀 공격의 역사를 가지고 있으며, 사이버 위협 무대에서 다시 등장했습니다. 

최신 CERT-UA#6562 경고 에 따르면 2023년 4월 동안, 이 해킹 집단은 피싱 공격 벡터를 활용하여 우크라이나 주 기관에 대량으로 위장된 이메일을 배포했다고 합니다. 해커들은 관련 부서의 시스템 관리자 행세로 위조된 발신자 주소를 사용하여 Windows OS 업데이트라는 주제로 유혹을 했습니다.

CERT-UA#6562 경고에 포함된 APT28 피싱 공격 분석

2023년 4월 28일, CERT-UA 연구원들은 새로운 경고를 발표하였습니다 이는 UAC-0001/UAC-0028로 알려진 러시아와 관련된 해킹 그룹이 우크라이나 주체를 대상으로 이메일 위조를 이용한 대규모 피싱 캠페인을 경고하는 내용입니다. 2022년에 CERT-UA는 이러한 러시아 국가 후원 위협 행위자들의 사악한 활동을 유사한 공격 벡터를 사용하여 경고했습니다. 거의 1년 전, APT28은 이메일 위조를 활용하여 그들의 메시지를 보안 알림으로 위장하면서, 2022년 6월에는 위협 행위자들이 악명 높은 제로데이 취약점 CVE-2022-30190 을 남용하여 CredoMap 멀웨어 를 유혹 첨부 파일을 통해 확산시켰습니다. 

가장 최근에는 CERT-UA#6562 경고, APT28 해킹 집단은 ‘Windows OS 업데이트’라는 유혹 주제를 포함한 피싱 이메일을 대량으로 배포하였고, 발신자를 시스템 관리자라 변장시켰습니다. 발신자 이메일은 @outlook.com 공용 서버를 사용해 만들어졌으며, 합법적인 직원의 성과 이니셜을 사용하여 피해자가 이를 열어보게 했습니다. 위조된 이메일에는 사이버 공격으로부터 보호를 강화하기 위해 Windows를 업데이트하는 방법에 관한 우크라이나어로 작성된 가이드라인과 함께 명령 줄 실행 및 PowerShell 명령 실행 과정을 보여주는 이미지가 포함되었습니다. 후자는 OS 업데이트로 위장하여 다음 PowerShell 스크립트를 다운로드하고 실행하기 위한 PowerShell 시나리오를 시작하기 위한 것이었습니다. 이어지는 PowerShell 시나리오는 tasklist and syteminfo 명령으로 손상된 시스템에 대한 기본 정보를 수집하고, 획득한 결과를 Mocky API 서비스에 HTTP 요청을 통해 전송하도록 설계되었습니다. 

관련 피싱 공격의 위험성을 완화하기 위해 사이버 보안 연구자들은 사용자에 의한 PowerShell 실행 제한 및 위에서 언급한 Mocky API 서비스에 대한 네트워크 연결을 지속적으로 모니터링 할 것을 권장합니다. 

CERT-UA#6562에 수록된 우크라이나에 대한 APT28 공격과 관련된 악의적 활동 탐지

러시아의 우크라이나에 대한 전면 침략 초기부터, 보안 전문가들은 우크라이나 정부 기관과 기업을 대상으로 한 피싱 캠페인이 폭증하는 것을 관찰했습니다. 러시아 정부의 지원을 받는 해커들의 악의적인 활동을 늦지 않게 식별할 수 있도록 하기 위해, SOC Prime은 CERT-UA 조사에서 다루어진 적대적 TTPs에 대한 선별된 탐지 콘텐츠를 제공합니다. 모든 탐지는 수십 가지 SIEM, EDR, XDR 솔루션에서 사용 가능하여 팀이 SIEM 마이그레이션 문제와 시간 소모적인 수작업 정밀 조정을 해결하도록 돕습니다. 

클릭하세요 탐지 탐색 버튼을 눌러 APT28의 최신 캠페인을 탐지하는 전용 Sigma 규칙을 탐색하십시오. 모든 규칙은 MITRE ATT&CK® 참조 및 CTI 링크를 포함한 관련 메타데이터와 함께 제공됩니다. 콘텐츠 검색을 단순화하기 위해, SOC Prime 플랫폼은 경고 및 그룹 식별자를 기반으로 ‘CERT-UA#6562’와 ‘APT28’이라는 사용자 정의 태그로 필터링을 지원합니다. 

탐지 탐색

사이버 방어자는 최신 APT28 캠페인과 관련된 침해 지표(IoC)를 검색하여 위협 사냥 활동을 자동화할 수도 있습니다 Uncoder.IO를 사용하세요. 파일, 호스트 또는 네트워크를 복사하고 붙여넣고 CERT-UA에서 제공한 IoC 를 도구에 입력하면 선택한 환경에서 즉시 실행 가능한 성능 최적화된 IoC 쿼리를 생성할 수 있습니다. 

MITRE ATT&CK 문맥

최신 4월 CERT-UA 경고에 포함된 APT28의 악의적인 캠페인 뒤의 심층적인 문맥을 탐구하려면, 참조된 모든 Sigma 규칙은 관련 전술 및 기법을 다루는 ATT&CK v12로 태그가 붙어 있습니다: