CAPIBAR 및 KAZUAR 악성코드 감지: Turla 일명 UAC-0024 또는 UAC-0003이 우크라이나를 대상으로 사이버 첩보 캠페인 개시

[post-views]
7월 19, 2023 · 3 분 읽기
CAPIBAR 및 KAZUAR 악성코드 감지: Turla 일명 UAC-0024 또는 UAC-0003이 우크라이나를 대상으로 사이버 첩보 캠페인 개시

적어도 2022년부터 UAC-0024로 추적된 해킹 집단은 우크라이나 방위군을 대상으로 일련의 공격 작전을 수행하고 있습니다. 이 그룹의 사이버 스파이 활동은 주로 CAPIBAR 멀웨어를 활용한 정보 수집에 중점을 두고 있습니다. 공격자의 TTP와 Kazuar라는 또 다른 멀웨어의 사용이 발견됨에 따라, 이 적대적 활동은 악명 높은 Turla APT 그룹과 연관될 수 있으며, 이 그룹은 러시아 연방 보안 서비스의 지원을 받고 있습니다.

Turla APT aka UAC-0024 공격 설명

CERT-UA 연구자들은 최근 경고를 발행하여 UAC-0024 해커 또는 Turla APT의 사이버 스파이 활동 개요를 다루었습니다. 2023년 5월, 나토 국가들에 대한 장기 캠페인 배후에 있는 것으로 관찰된 러시아 연계 그룹은 오랫동안Iron Hunter, Krypton, 또는 Secret Blizzard라는 이름으로 알려져 있으며, 대체로 CERT-UA에 의해 UAC-0003으로 추적되며 주로 피싱 공격 벡터를 활용합니다. 공공부문, 외교, 군사 조직이 주요 대상입니다.

1년 이상 동안, 악명 높은 러시아 지원 해킹 갱단은 우크라이나 및 동맹국을 대상으로 CAPIBAR 멀웨어(DeliveryCheck 또는 GAMEDAY로도 추적됨)를 악용하여 목표 사이버 스파이 공격을 수행해 오고 있습니다. 이 악성 코드는 XSLT 언어와 COM-하이재킹을 적용하며, 특정 PowerShell 유틸리티를 통해 MOF 파일로 위장하여 손상된 MS Exchange 서버에 설치될 수 있으며, 이를 통해 공격자는 합법적인 서버를 원격 멀웨어 관리 도구로 전환할 수 있습니다.

초기 공격 단계에서 UAC-0024 해커는 파일 및 매크로가 포함된 첨부 파일을 유인하여 잠재 피해자가 열어보도록 유도하는 이메일을 대량 배포합니다. 합법적인 매크로를 열면 이에 포함된 코드 스니펫이 PowerShell을 실행하는 감염 체인을 시작합니다. 이는 해커들이 KAZUAR 백도어를 투하할 수 있게 하며, 이 백도어는 ChakraCore를 통해 JavaScript 코드 실행, OS 레지스트리에서 이벤트 로그 수집, 자격 증명 도용(사용자 비밀번호, 쿠키, 북마크 및 기타 민감한 데이터 도난), 데이터베이스 및 소프트웨어 구성 파일 도난 등을 포함한 수십 가지 악의적인 기능을 수행할 수 있습니다. 또한, 위협 행위자는 Rclone 오픈 소스 파일 관리 명령줄 유틸리티를 활용하여 손상된 컴퓨터에서 데이터를 탈취할 수 있습니다.

CERT-UA#6981 경고에 포함된 우크라이나를 대상으로 한 UAC-0024 공격 탐지

Turla APT 또는 UAC-0024로 추적된 러시아 연계 위협 행위자의 지속적인 공격은 1년 이상 동안 사이버 위협 분야에서 주목받아왔으며, 사이버 방어자들의 완전한 주목을 받고 있습니다. 러시아 지원 위협에 대해 사전 방어를 구현하려는 진보적인 조직은 수천 개의 관련 Sigma 룰, 특히 UAC-0024 공격 탐지를 위한 선별된 콘텐츠 스택을 활용할 수 있습니다.

버튼을 클릭하여 탐지 탐색 팀은 관련 CERT-UA 통지 및 해당 그룹 식별자에 따라 ‘CERT-UA#6981’, ‘UAC-0024’, 또는 ‘UAC-0003’ 태그가 붙은 전용 Sigma 룰 전체 컬렉션에 접근할 수 있습니다. 탐지 규칙 및 사냥 쿼리는 수십 개의 보안 분석 플랫폼 및 데이터 레이크 솔루션에 적용될 수 있으며, 맞춤형 정보로 보강되어 환경에 배포할 준비가 되어 있습니다.

탐지 탐색

CERT-UA는 또한 CERT-UA#6981 경고 에서 Turla 관련 위협을 효과적으로 사냥하기 위한 관련 파일 및 호스트 침해 지표 목록을 제공합니다. SOC Prime이 지원하는 Uncoder AI를 사용하여, 보안 엔지니어링 요구에 맞게 즉시 생성된 IOC 쿼리로 IOC를 사냥하는 것은 위협 조사를 몇 초 단축하는 데 도움이 될 수 있습니다.

Uncoder AI를 통해 CERT-UA#6981 경고에 나열된 IOC를 탐색.

MITRE ATT&CK® 컨텍스트

UAC-0024 공격 탐지를 위한 위에서 언급된 모든 Sigma 룰은 MITRE ATT&CK 프레임워크 v12에 맞춰 해당 전술과 기술을 다루고 있습니다. 아래 표를 통해 관련 러시아 연계 사이버 스파이 활동의 심층적인 사이버 위협 맥락을 탐색하고, 적시에 모든 규모의 위협을 완화하기 위한 통찰을 얻어보세요.

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.
무료 가입하기 미팅 예약하기

관련 게시물

UAC-0099 공격 탐지: 해커들이 MATCHBOIL, MATCHWOK, DRAGSTARE 악성코드를 사용해 우크라이나 정부 및 방위 기관을 표적
블로그, 최신 위협 — 5 분 읽기
UAC-0099 공격 탐지: 해커들이 MATCHBOIL, MATCHWOK, DRAGSTARE 악성코드를 사용해 우크라이나 정부 및 방위 기관을 표적
Veronika Telychko
APT28(UAC-0001) 공격 탐지: 러시아 연계 그룹이 LLM 기반 LAMEHUG 악성코드로 보안 및 국방 부문 타깃
블로그, 최신 위협 — 4 분 읽기
APT28(UAC-0001) 공격 탐지: 러시아 연계 그룹이 LLM 기반 LAMEHUG 악성코드로 보안 및 국방 부문 타깃
Veronika Telychko
UAC-0001 (APT28) 공격 탐지: BEARDSHELL 및 COVENANT 악성코드를 이용한 러시아 정부 지원 그룹의 침해 활동
블로그, 최신 위협 — 5 분 읽기
UAC-0001 (APT28) 공격 탐지: BEARDSHELL 및 COVENANT 악성코드를 이용한 러시아 정부 지원 그룹의 침해 활동
Veronika Telychko