APT28 피싱 공격 탐지: 해커들이 우크라이나 에너지 부문을 대상으로 Microsoft Edge 다운로드 관리 프로그램, TOR 소프트웨어 및 Mockbin 서비스를 원격 관리에 사용

2023년 가을 초, 러시아 지원을 받는 APT28 해킹 그룹 이 우크라이나의 전력 산업 부문의 중요 인프라를 목표로 사이버 위협 무대에 다시 등장했습니다. 

CERT-UA는 최근 보안 공지를 발표했습니다. 가짜 발신자 이메일 주소에서 피싱 공격을 다루며, 이 이메일에는 악성 아카이브 링크가 포함되어 있습니다. 이 링크를 따르면 유도 이미지와 CMD 파일이 포함된 무기화된 ZIP 아카이브를 다운로드하게 되며, 이는 감염된 시스템에서 감염을 더 확산시킵니다. 

APT28 공격 설명: Microsoft Edge, TOR, Mockbin 서비스를 사용하는 새로운 캠페인

2023년 9월 4일, 최신 CERT-UA 안내에 따르면 CERT-UA#7469에 따르면 APT28로 추적되는 악명 높은 러시아 지원 그룹 (UAC-0028 또는 UAC-0001)은 우크라이나의 에너지 분야 조직을 겨냥하여 다시 등장했습니다. 이 캠페인에서 적들은 우크라이나의 주요 조직 인프라를 마비시키려는 공격 작전에서 일반적으로 사용하는 피싱 공격 벡터를 적용합니다.

해커들은 사기성 발신자 주소와 함께 유도 이미지와 CMD 파일을 포함하는 ZIP 아카이브 링크를 이메일로 전송했습니다. 후자의 실행을 통해 여러 유도 웹 페이지가 열리고 BAT 및 VBS 파일을 생성하며 무기화된 배치 파일을 실행하는 특정 VBS 파일이 실행됩니다. 이러한 작업 수행은 Microsoft Edge를 통해 URL 주소를 트리거하여 나중에 대상 시스템의 다른 카탈로그로 이동할 CSS 파일을 생성하고 파일 확장자를 CMD로 변경하여 추가로 실행 및 제거됩니다.

CERT-UA 연구에 따르면 해커들은 ‘whoami’ 명령을 실행하고 헤드리스 모드를 사용하여 HTTP GET 요청을 통해 결과를 전송하도록 의도된 CMD 파일을 다운로드하는 데 성공했습니다. 

추가 조사 결과, 적들은 file.io 프로젝트를 사용하여 취약한 인스턴스에 TOR 소프트웨어를 다운로드하고 숨겨진 서비스를 생성하여 정보 흐름을 TOR를 통해 관련 호스트, 도메인 컨트롤러 및 이메일 서비스로 리디렉션했음을 발견했습니다. 목표 사용자 계정의 해시 비밀번호를 얻기 위해, 적들은 PowerShell 스크립트를 소켓 오프너로 사용하고 Net Use 명령을 통해 SMB 연결을 시작했습니다.

또한 해커들은 curl 명령줄 유틸리티를 합법적인 Webhook.site 서비스의 API를 통해 원격 코드 실행에 적용합니다. 지속성을 유지하기 위해 APT28 그룹은 인수로 사용되는 배치 파일을 사용하여 VBS 스크립트를 실행하기 위한 예약 작업을 만듭니다. 

이번 우크라이나에 대한 최신 공격에서, 러시아와 연계된 APT28 그룹은 LOLBins(을)를 활용했으며, 이는 그들의 공격 도구 모음에서 탐지를 피하기 위해 흔히 사용됩니다.

Mockbin 서비스에 대한 제한된 액세스를 활용하고 Windows Script Host 실행을 차단하여 위협을 완화했습니다. 방어자들은 또한 관련 위협 탐지 및 공격 방지를 위한 실용적인 소스로서 curl 및 msedge를 “–headless=new” 매개변수를 사용하여 실행하는 것을 권장합니다.

CERT-UA#7469 경고에 포함된 우크라이나에 대한 APT28 캠페인 탐지

러시아와 연계된 국가 지원 공격 세력, 특히 악명 높은 APT28 그룹의 사이버 공격 빈도가 증가함에 따라, 방어자들은 우크라이나와 그 동맹국들의 중요 인프라를 방어하기 위해 사이버 회복력을 강화하려고 노력하고 있습니다. SOC Prime 플랫폼은 조직들이 APT28 해커들이 발생한 피싱 공격에 대해 선제적으로 방어할 수 있도록 하기 위해 관련 Sigma 규칙 세트를 관리하여 전력 산업 부문을 목표로 하는 최신 악성 활동을 포함합니다.

탐지 알고리즘은 그룹 ID와 해당 CERT-UA 안내에 기반하여 필터링되므로, 방어자들은 “CERT-UA#7469” 또는 “APT28” 태그를 통해 Threat Detection Marketplace 콘텐츠 라이브러리에서 관련 규칙을 검색할 수 있습니다. 관련 탐지 스택의 모든 Sigma 규칙은 MITRE ATT&CK® 에 정렬되어 있으며, 다양한 온프레미스 또는 클라우드 네이티브 보안 분석 플랫폼으로 자동 변환될 수 있습니다.  

최신 CERT-UA#7469 경고에 포함된 공격 탐지를 위한 Sigma 규칙 목록에 액세스하려면 아래 링크를 따르세요:

CERT-UA#7469 경고에 포함된 APT28 공격 탐지를 위한 Sigma 규칙

해당 사용자 정의 태그로 필터링된 APT28 탐지를 위한 Sigma 규칙 전체 모음을 자세히 보려면 아래 탐지 탐색 버튼을 클릭하세요. 그룹의 공격에 대한 심층적인 사이버 위협 컨텍스트를 포함하여 ATT&CK 및 CTI 링크, 완화 방안, 위협 연구를 보다 원활하게 할 수 있는 기타 연결된 메타데이터를 탐색하십시오. 

탐지 탐색

팀은 또한 APT28 관련 IOC 를(을) 생성하여 원하는 헌팅 환경에서 실행할 수 있도록 IOC 쿼리를 원활하게 생성하여 검색할 수 있습니다 Uncoder AI. 

MITRE ATT&CK 컨텍스트

사이버 보안 애호가들은 CERT-UA#7469 경고에 포함된 최신 APT28 캠페인에 대해 더 깊이 조사할 수도 있습니다. 아래 표를 탐색하여 위에서 언급한 Sigma 규칙에 연결된 모든 관련 적대자 전술, 기술 및 하위 기술 목록을 확인하여 자세한 분석을 수행하십시오: