아마겟돈 APT, 이른바 UAC-0010, 우크라이나를 겨냥한 사이버 공격에서 GammaLoad 및 GammaSteel 악성코드 사용

전 세계 사이버 전쟁의 발발과 함께 글로벌 사이버 전쟁, Armageddon 사이버 스파이 그룹 aka Gamaredon 또는 UAC-0010의 악의적인 활동이 우크라이나 국가 기관을 대상으로 하는 사이버 위협 분야에서 주목을 받고 있습니다. 이 해킹 조직은 5월 캠페인을 포함한 일련의 피싱 사이버 공격을 시작했습니다 GammaLoad.PS1_v2 악성코드를 전파하는 및 2022년 4월. 2022년 8월 10일에 CERT-UA는 새로운 경고를 발표했습니다 우크라이나에서 진행 중인 피싱 사이버 공격에 대해 GammaLoad와 GammaSteel 악성코드를 활용한 싸이버 방어자들에게 경고했습니다.

Armageddon APT(UAC-0010) 활동: GammaLoad 및 GammaSteel 페이로드를 전파하는 최신 캠페인 분석

2022년 상반기 동안, 러시아의 우크라이나에 대한 전면 침공 이후, 악명 높은 러시아 국가 지원 APT 그룹인 Armageddon aka UAC-0010 이 피싱 공격 벡터를 적극 활용하여 우크라이나를 대상으로 여러 차례의 악성 캠페인을 전개했습니다. 해킹 단체는 감염 체인을 유발하고 감염된 시스템에 GammaLoad.PS1 페이로드를 배포하는 HTM 드로퍼를 대량으로 배포했습니다.

CERT-UA 경고에서 다루어진 사이버 보안 연구에 따르면 CERT-UA#5134, 공격자는 웹 브라우저의 사용자 자격 증명과 함께 정의된 확장자 목록을 기반으로 데이터를 훔치는 것을 목표로 합니다. 민감한 데이터에 접근하기 위해, 공격자는 이전에 적용된 HarvesterX 정보 스틸러의 파워셸 버전인 GammaSteel.PS1 및 GammaSteel.NET 악성코드를 활용합니다.

최신 캠페인에서 Armageddon APT 그룹은 또한 악성 매크로를 통해 템플릿 파일을 감염시켜 URL을 생성하고 이를 새로 생성된 문서에 첨부 파일로 추가하는 원격 템플릿 인젝션 공격에 의지합니다. 이는 피해자의 컴퓨터에 생성된 모든 파일을 감염시키고 감염된 사용자의 의도치 않은 배포까지 이어집니다.

위협 행위자는 주로 계획된 작업, 레지스트리 실행 분기 및 환경 변경을 활용하여 지속성을 달성하고 페이로드를 배포하며, 악성 파워셸 스크립트를 실행하고 wscript.exe or mshta.exe와 같은 합법적인 실행 파일을 악용합니다.

Armageddon APT aka UAC-0010의 악성 활동 감지

러시아와 연결된 Armageddon APT 그룹의 적대적 활동에 기인한 피싱 캠페인의 증가하는 양으로 인해 사이버 보안 실무자들은 그 관련 악성코드의 악의적인 존재를 제때 식별할 수 있는 새로운 방법을 찾고 있습니다. SOC Prime의 Detection as Code 플랫폼 은 관련 악성 활동에 대해 ‘UAC-0010’이라는 그룹 식별자를 기반으로 태그된 Sigma 규칙 의 정제된 목록을 제공하여 콘텐츠 검색을 간소화합니다. 이 탐지 알고리즘 컬렉션의 높은 신뢰성의 경고 및 사냥 쿼리는 업계의 선도적인 SIEM, EDR 및 XDR 기술로 변환 가능합니다.

아래 링크를 따라 바로 SOC Prime의 사이버 위협 검색 엔진에서 접근 가능하며, MITRE ATT&CK® 및 CTI 참조, Sigma 규칙에 연결된 실행 가능한 바이너리 등과 관련된 포괄적인 문맥 정보를 포함한 전용 탐지 스택을 즉시 얻으십시오:

Armageddon APT 그룹/UAC-0010의 악성 활동에 대해 적극적으로 방어하기 위한 Sigma 규칙

위협 사냥꾼 및 사이버 위협 인텔리전스 전문가들은 또한 최신 CERT-UA 경고에서 다루어진 UAC-0010 그룹의 악성 활동과 관련된 침해 지표를 검색할 수 있습니다. 또한, 팀은 Uncoder.CTI 를 활용하여 선택한 SIEM 또는 XDR 환경에서 실행할 준비가 된 관련 맞춤형 IOC 쿼리를 생성할 수 있습니다.

Armageddon 해킹 단체, 또한 Gamaredon이라고 불리는, 의 악성 활동을 탐지하는 추가 Sigma 규칙을 얻으려면 감지 및 사냥 버튼을 클릭하십시오. 등록되지 않은 SOC Prime 사용자는 또한 ‘Explore Threat Context’ 버튼을 클릭하여 관련 위협에 대해 맥락이 풍부한 탐지를 즉시 활용할 수 있습니다. Explore Threat Context 버튼을 아래에서.

탐지 및 사냥 Explore Threat Context

MITRE ATT&CK® 맥락

Armageddon 위협 행위자(UAC-0010)의 악성 활동과 관련된 MITRE ATT&CK 맥락을 탐구하기 위해, 위에서 언급한 탐지 스택 내의 모든 Sigma 규칙은 MITRE ATT&CK® 프레임워크 에 맞춰진 관련 전술 및 기술을 다룹니다: