아마겟돈 APT 해커 그룹(UAC-0010), 우크라이나 국가 특별 통신 서비스로 위장한 피싱 이메일 배포

러시아와 연계된 Armageddon APT, 즉 Gamaredon 또는 UAC-0010은 글로벌 사이버 전쟁의 발발 이후 우크라이나를 대상으로 일련의 사이버 공격을 실행하고 있습니다. 2022년 11월 8일, CERT-UA는 최신 경고 를 발표하여 이 러시아 지원 사이버 스파이 해킹 집단의 진행 중인 스피어피싱 캠페인을 상세히 설명했습니다. 이 캠페인에서 적대자는 대량의 스푸핑 이메일을 우크라이나의 국가 특별 통신 서비스로 위장하여 배포하고 있습니다. 이 표적화된 적대 캠페인에서, Armageddon APT 해커들은 악성 이메일 첨부 파일 공격 벡터를 활용합니다.

Armageddon APT (UAC-0010) 사이버 공격: 우크라이나에 대한 최신 피싱 캠페인 분석

이래로 러시아의 전면적인 우크라이나 침공이후 악명 높은 러시아와 연계된 Armageddon APT 그룹, UAC-0010 또는 Primitive Bear로 추적된 이들은 우크라이나를 대상으로 한 캠페인에서 피싱 및 악성 이메일 첨부 파일 공격 벡터를 적극적으로 활용하고 있습니다. 2022년 5월과 7월에 해커 집단은 대량으로 GammaLoad.PS1_v2 악성 소프트웨어를 배포했으며, 2022년 8월에 적들은 GammaSteel.PS1 및 GammaSteel.NET 악성코드 를 취약한 시스템에 감염시키기 위해 사용했습니다.

CERT-UA#5570 경고에 의해 보고된 진행 중인 적대 캠페인에서 CERT-UA #5570 경고에 따르면 감염 체인은 악성 첨부 파일이 포함된 피싱 이메일에 의해 트리거됩니다. 이를 열면 JavaScript 코드가 포함된 HTML 파일을 다운로드하며, 이는 취약한 컴퓨터에 LNK 파일이 포함된 RAR 아카이브를 만듭니다. 이를 열면 위에서 언급한 LNK 파일이 HTA 파일을 다운로드 및 실행하며, 이는 그 후 악성 VBScript 코드를 실행합니다. 그 결과, 표적 시스템에 정보 탈취 악성코드 샘플을 포함한 일련의 악성 코드들이 배포됩니다.

CERT-UA 연구자들은 피싱 이메일이 @mail.gov.ua 서비스를 통해 전달되고 있다고 보고합니다. 또한, Armageddon APT 해커들은 사이버 공격을 실행하기 위해 타사 서비스나 Telegram을 사용하여 C2 서버의 IP 주소를 식별하는 일반적인 적대 패턴을 적용합니다.

우크라이나 기관을 겨냥한 Armageddon APT의 최신 캠페인 탐지

2022년 3월 이후 우크라이나를 지속적으로 겨냥하는 러시아와 연계된 Armageddon APT의 일련의 피싱 캠페인은 보안 전문가로부터의 신속한 탐지와 초반응성을 요구하는 악화되는 위협을 제기합니다. SOC Prime의 Detection as Code 플랫폼은 CERT-UA#5570 경고에 다뤄진 관련 악성 활동을 공격 수명 주기의 초기 단계에서 식별하기 위한 큐레이션된 Sigma 규칙 배치를 제공합니다. 아래 링크를 따라 해당 사이버 보안 경고를 기반으로 CERT-UA#5570으로 태그된 관련 탐지 콘텐츠에 도달하세요:

CERT-UA#5570 경고에 다뤄진 UAC-0010 그룹의 악성 활동을 탐지할 수 있는 Sigma 규칙

러시아의 전면적인 우크라이나 침공 이래 사이버 수비대가 추적한 기존 및 새로운 Armageddon APT 사이버 공격으로부터 능동적으로 방어하려면, 탐지 탐색 버튼을 클릭하여 전용 탐지 스택에 접근하세요. 모든 Sigma 규칙은 MITRE ATT&CK®과 정렬되어 있으며 관련 CTI 링크, 완화 조치, 실행 가능한 바이너리 및 기타 관련 메타데이터를 포함한 광범위한 사이버 위협 컨텍스트로 보강되어 있습니다. 탐지 규칙은 업계 선도적인 SIEM, EDR 및 XDR 솔루션에 대한 번역과 함께 제공됩니다.

탐지 탐색

위협 헌팅 일상의 간소화 및 탐지 엔지니어링 기능 강화를 위해 보안 전문가들은 CERT-UA#5570 경고에 다뤄진 UAC-0010 적의 악성 활동과 관련된 IoC를 검색할 수 있습니다. 관련 IoC를 포함한 텍스트를 Uncoder CTI 에 붙여넣으면 선택한 환경에서 실행할 준비가 된 맞춤형 IOC 쿼리를 얻을 수 있습니다.

MITRE ATT&CK® 컨텍스트

CERT-UA#5570 경고에 다뤄진 러시아 연계의 Armageddon APT 그룹, 즉 UAC-0010의 최신 사이버 공격 뒤에 있는 컨텍스트를 깊이 이해하기 위해, 모든 전용 Sigma 규칙은 MITRE ATT&CK® 프레임워크 와 정렬되어 관련 전술 및 기법을 다룹니다: