Armageddon 위협 행위자, UAC-0010으로도 알려진, 감마로드.GammaLoad.PS1_v2 멀웨어를 우크라이나 대상 또 다른 피싱 공격에서 확산

[post-views]
7월 27, 2022 · 3 분 읽기
Armageddon 위협 행위자, UAC-0010으로도 알려진, 감마로드.GammaLoad.PS1_v2 멀웨어를 우크라이나 대상 또 다른 피싱 공격에서 확산

2022년 봄, 악명 높은 러시아 정부 지원 사이버 스파이 그룹 아마겟돈, 또한 UAC-0010으로 추적되는, 우크라이나 및 유럽 국가 기관을 대상으로 한 일련의 표적 피싱 사이버 공격을 시작했습니다. 2022년 7월 26일, CERT-UA는 새로운 사이버 보안 경고 일련의 러시아와 연결된 이러한 위협 행위자들이 우크라이나를 대상으로 하는 새로운 피싱 캠페인 물결과 이를 대규모로 GammaLoad.PS1_v2 맬웨어로 배포하고 있다는 것을 글로벌 사이버 방어 공동체에 경고했습니다.

아마겟돈 APT(UAC-0010) 최신 사이버 공격 분석: GammaLoad.PS1_v2 맬웨어의 대량 배포

2014년 이후와 우크라이나에 대한 러시아의 공격 이 2022년 2월 24일에 확대되면서, 러시아는 하이브리드 전쟁을 발전시키고 있으며 사이버 스파이 행위를 진전시키고 있습니다. 우크라이나 보안 서비스(SSU)의 기술 보고서에 따르면, 우크라이나 보안 서비스(SSU), 아마겟돈 해킹 단체, 즉 가마레돈 이라고도 알려진 이 그룹은 우크라이나 국가 기관에 대한 정보 수집 및 사이버 스파이 활동을 수행하기 위한 특별 단체로 만들어졌습니다. 

아마겟돈 APT 그룹이 시작한 2022년 봄 일련의 사이버 공격에 이어, 위협 행위자들은 피싱 이메일 공격 벡터를 다시 한 번 사용하고 있습니다. 이전에는 2022년 4월에, UAC-0010으로도 식별된 이 그룹은 우크라이나 및 유럽 국가 기관을 겨냥한 사이버 공격 을 시작하여 악성 첨부 파일이 있는 피싱 이메일을 확산시켰습니다. 한 달 후, 아마겟돈 그룹은 그들이 가장 선호하는 피싱 공격 벡터를 활용하여 사이버 위협 분야에 재출현하여 GammaLoad.PS1_v2 악성 소프트웨어를 배포했습니다 감염된 시스템에서.

CERT-UA의 최신 경고에 따르면, UAC-0010 해킹 단체는 우크라이나 보안 서비스 국립 아카데미 발신자로 위장한 전쟁 관련 유인물을 이메일 제목으로 사용하여 표적 피싱 이메일을 대량으로 배포합니다. 이러한 위조된 이메일에는 감염 체인을 유발하는 HTM 드로퍼가 포함되어 있습니다. 열리면, 후자는 LNK 바로 가기 파일을 유인물로 조작하여 삽입하여 희생자가 이를 열도록 트릭을 만듭니다. 열리면, 상기 언급된 LNK 파일은 VBScript 코드가 포함된 HTA 파일을 다운로드하고 실행하며, 이는 PowerShell을 적용하여 목표 컴퓨터에서 GammaLoad.PS1_v2 맬웨어를 해독하고 실행합니다. 탐지를 피하기 위해, 공격자들은 C2 서버의 DNS 해해를 막기 위해 외부 서비스를 적용합니다. 

앞서 언급한 적대적 기술을 활용하는 피싱 사이버 공격의 극적인 증가로 인해, 글로벌 조직들은 자신의 사이버 보안 전략의 일환으로 종합 공격 표면 관리 프로그램을 구현할 것을 강력히 권장합니다. 조직의 장치에서 외부 이메일 서비스를 사용하면 이메일 내용에 대한 적절한 보안 검사를 방해하여 잠재적으로 피싱 공격을 일으킬 수 있습니다. 

UAC-0010 활동 탐지: 신흥 피싱 사이버 공격에 대항하기 위한 시그마 규칙

전 세계 수천 개의 조직을 겨냥한 피싱 사이버 공격의 수가 지속적으로 증가함에 따라, 사이버 방어자들은 조직의 사이버 보안 태세를 강화하기 위해 관련 악성 활동에 대해 선제적으로 방어하는 것이 최우선 과제임을 인식하게 됩니다. SOC Prime의 Detection as Code 플랫폼 은 고품질 경고와 검증된 위협 사냥 쿼리를 관리하여 조직이 최신 CERT-UA 경고에 포함된 아마겟돈 위협 행위자(UAC-0010)의 악의적 활동을 적시에 식별할 수 있도록 합니다. 

간편한 콘텐츠 검색을 위해 모든 탐지는 #UAC-0010 공격자 활동과 연관된 식별자를 기반으로 태그됩니다. 등록된 SOC Prime 사용자는 전용 시그마 규칙 을 활용하여 아래 링크를 통해 혜택을 받을 수 있습니다. 

최신 CERT-UA 경고에 수록된 아마겟돈 APT(UAC-0010)의 악성 활동을 탐지하기 위한 시그마 기반 규칙

사이버 보안 전문가들은 아마겟돈 그룹 즉 가마레돈에 의한 사이버 공격을 탐지하기 위한 더 많은 시그마 규칙에 액세스할 수 있으며, 클릭 한 번으로 탐지 및 사냥 아래 버튼을 통해 가능합니다. 또는 InfoSec 실무자들은 SOC Prime의 사이버 위협 검색 엔진에서 UAC-0010 적대 활동을 탐색하여 MITRE ATT&CK® 및 CTI 참조, 미디어 링크, 실행 가능 바이너리를 포함한 더 많은 문맥적 메타데이터와 관련 탐지를 즉시 탐색할 수 있습니다.

탐지 및 사냥 위협 문맥 탐색

MITRE ATT&CK® 문맥

아마겟돈 APT 그룹 즉 UAC-0010의 최신 사이버 공격의 MITRE ATT&CK 문맥을 깊게 이해하기 위해, 모든 전용 시그마 규칙은 MITRE ATT&CK® 프레임워크 에 맞추어 해당 전술 및 기술을 다루고 있습니다.

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.
무료 가입하기 미팅 예약하기

관련 게시물

Koske 악성코드 탐지: AI로 생성된 새로운 리눅스 위협 5 분 읽기 최신 위협 Koske 악성코드 탐지: AI로 생성된 새로운 리눅스 위협 by Veronika Telychko AI 위협 인텔리전스 10 분 읽기 SIEM & EDR AI 위협 인텔리전스 by Veronika Telychko 사이버락, Lucky_Gh0$t 및 Numero 탐지: 해커들이 가짜 AI 도구 설치 프로그램을 랜섬웨어 및 멀웨어 공격에 무기로 사용 4 분 읽기 최신 위협 사이버락, Lucky_Gh0$t 및 Numero 탐지: 해커들이 가짜 AI 도구 설치 프로그램을 랜섬웨어 및 멀웨어 공격에 무기로 사용 by Veronika Telychko
모든 뉴스