아마겟돈 사이버 스파이 그룹, UAC-0010으로 추적되어 EU 및 우크라이나 정부 기관 공격

업데이트: 에 따르면 최신 정보 2022년 4월 7일로부터 우크라이나 컴퓨터 긴급 대응 팀(CERT-UA)은 며칠 전과 유사한 행동 패턴을 보이는 공격의 킬체인이 식별된 후 우크라이나 국가 기관에 대한 최신 피싱 공격의 세부 사항과 함께 경고를 발령했습니다.

2022년 4월 4일, CERT-UA는 경고 현재 진행 중인 정부 기관을 대상으로 한 스피어 피싱 캠페인에 대해 경고하는 알림을 발령했습니다. 이 캠페인은 악성코드가 첨부된 이메일을 전파하는 것을 포함했습니다. CERT-UA 연구원들은 Armageddon이라고도 알려진 UAC-0010으로 추적되는 해킹 그룹이 우크라이나 정부 관계자에 대한 스피어 피싱 공격의 배후에 있다고 믿고 있습니다.

같은 날, 또 다른 CERT-UA 알림 이 앞서 언급된 위협 행위자에 기인되는 새롭게 감지된 활동에 대한 경고를 발령했습니다. 이번에는 유명한 해킹 그룹 Armageddon이 유럽 국가 기관을 공격하며 피싱 이메일과 악성 첨부 파일의 전달로 희생자들이 유사하게 손상되었습니다.

Armageddon (UAC-0010) 사이버 첩보 활동: 개요 및 분석

에 따르면 우크라이나 보안 서비스(SSU), Armageddon은 2013-2014년부터 사이버 분야에서 주목받아왔습니다. 이 사이버 첩보 그룹은 러시아 연방의 연방보안국의 일환으로 우크라이나 정부 기관을 대상으로 민감한 정보를 수집하기 위한 표적화된 사이버 정보 수집 및 파괴 활동을 수행하기 위해 만들어졌습니다. 위협 행위자는 Armageddon APT로서 Gamaredon APT로도 알려져 있으며, 후자는 그룹 이름 이 ‘Armageddon’이라는 단어의 잘못된 철자로 유래되었습니다.

Armageddon 위협 행위자는 피싱 캠페인을 가장 널리 사용되는 적대적 방법 중 하나로 활용하여 다수의 사용자를 손상시켰습니다. 그들의 활동이 드러난 기간 동안, 잠재적 피해자에게 악성 첨부 파일이 포함된 이메일을 대량 발송하여 여러 악성코드 스트레인이 유포되도록 한 것이 이 그룹의 주요 공격 벡터였으며, 최근의 사이버 공격도 예외는 아닙니다. Gamaredon 그룹은 초기 활동에는 대부분 오픈소스 소프트웨어에 의존해 VBScript, VBA 스크립트, C#, C++ 등으로 작성된 간단한 도구를 적용했으며, 점차적으로 Pterodo/Pteranodon 및 applies simple tools written in VBScript, VBA Script, C#, C++, and other programming languages mostly relying on open-source software in the early days of their activity, while gradually tending to enrich their toolkit with a number of custom cyber espionage tools, including Pterodo/Pteranodon and EvilGnome 악성코드를 포함하여 다수의 커스텀 사이버 첩보 도구로 그들의 툴킷을 확장하는 경향을 보이고 있습니다.

As CERT-UA 에 따르면, 라트비아 국가 기관을 대상으로 한 최신 사이버 첩보 행위자의 활동은 RAR 아카이브 내에 악성 바로가기 파일이 포함된 피싱 이메일을 보내는 것을 포함했습니다. 우크라이나 정부 기관에 대한 사이버 공격에서, Armageddon 해커들은 러시아 관련 전범에 대한 데이터를 포괄하는 주제의 이메일 미끼를 공급했습니다. 이러한 피싱 이메일에는 HTM 첨부 파일이 포함되어 있으며, 이를 열면 VBScript 코드를 실행하는 악성 LNK 파일이 포함된 RAR 아카이브가 생성되어 손상된 시스템을 감염시킵니다. with subjects covering data on Russia-linked war criminals. These phishing emails contain an HTM attachment that, when opened, generates a RAR archive with a malicious LNK file, which further executes VBScript code and infects the compromised system.

Armageddon(UAC-0010)에 의한 사이버 공격을 탐지하기 위한 Sigma 행동 기반 콘텐츠

보안 실무자들은 SOC Prime 팀으로부터 커스터마이징된 Sigma 기반 탐지 규칙 세트를 사용하여 Armageddon(UAC-0010) 해킹 그룹의 최신 활동을 추적할 수 있습니다:

https://tdm.socprime.com/expert/?tagsCustom[]=UAC-0010

앞서 언급된 모든 탐지 규칙은 #UAC-0010 태그가 붙어 있어 해당 위협 행위자의 악의적인 활동과 관련된 콘텐츠 검색을 간소화합니다. 규칙 키트를 액세스하고 위협을 사냥하기 위해서는 SOC Prime의 Detection as Code 플랫폼에 가입하거나 로그인하십시오.

MITRE ATT&CK® 컨텍스트

우크라이나 및 EU 정부 관계자를 대상으로 한 Armageddon/UAC-0010의 최신 사이버 공격의 문맥를 깊게 이해하기 위해, 모든 전용 Sigma 기반 탐지는 해당 전술 및 기술을 다루는 최신 버전의 MITRE ATT&CK 프레임워크에 매핑되어 있습니다.