코발트 스트라이크 비컨 멀웨어 탐지: 우크라이나 정부 기관에 대한 새로운 사이버 공격, UAC-0056 그룹에 의해 속한 것으로 추정

악명 높은 코발트 스트라이크 비콘 악성코드 2022년 봄에 여러 해킹 집단에 의해 활발하게 배포되었으며 우크라이나에 대한 지속적인 사이버 전쟁의 일환으로주로 우크라이나 국가 기관을 대상으로 한 피싱 공격에 활용되었습니다. 2022년 7월 6일에 CERT-UA는 경고를 발표했습니다 우크라이나 정부 기관을 대상으로 하는 새로운 악성 이메일 캠페인에 대해 경고했습니다. 이번 지속적인 사이버 공격은 주제를 미끼로 한 이메일과 악성 매크로가 포함된 XLS 파일 첨부파일의 대량 배포가 포함되며, 이는 감염된 시스템에서 코발트 스트라이크 비콘 악성코드 감염으로 이어집니다. 

코발트 스트라이크 비콘 배포: CERT-UA가 최신 UAC-0056의 우크라이나에 대한 공격을 상세 설명합니다

이전에, 2022년 3월에 CERT-UA 연구원들은 UAC-0056 해킹 그룹이 우크라이나 정부 기관을 대상으로 하는 피싱 캠페인에서 코발트 스트라이크 비콘과 다른 악성코드들을 퍼뜨리는 활동을 관찰했습니다. 최신 사이버 공격은 CERT-UA가 보고한 동일한 공격 벡터를 이용하고 UAC-0056 그룹의 활동에 기인할 수 있는 동일한 행동 패턴을 적용한 이전 사건과 유사점을 공유합니다. 

공격 킬 체인은 군사 관련 미끼를 포함한 피싱 이메일과 악성 XLS 문서 첨부로 시작됩니다. 사용자가 문서를 열고 포함된 매크로를 활성화하도록 속으면, 감염된 인스턴스에서 악성 ‘write.exe’ 파일이 실행됩니다. CERT-UA 분석에 따르면 이 파일은 PowerShell 스크립트를 실행시키는 드로퍼 역할을 합니다. 추가로, ‘write.exe’는 윈도우 레지스트리에서 ‘Check License’ 키를 생성하여 지속성을 보장합니다. 

공격의 다음 단계에서 PowerShell 스크립트는 AMSI 우회를 수행하고, PowerShell에 대한 이벤트 로깅을 비활성화하며, Cobalt Strike Beacon 감염을 목표로 한 2차 PowerShell 스크립트의 디코딩 및 추출을 보장합니다. 

UAC-0056 활동 감지: 우크라이나 정부를 대상으로 한 새로운 공격 감지를 위한 시그마 규칙

우크라이나 정부 기관을 대상으로 하는 최신 공격과 관련된 악성 활동의 사전 탐지 및 완화를 돕기 위해, SOC Prime의 Detection as Code 플랫폼은 정리된 시그마 규칙 모음을 제공합니다. 관련 탐지 콘텐츠를 보다 편리하게 검색하기 위해, 모든 시그마 규칙은 CERT-UA#4914 알림에 다루어진 가장 최근 사이버 공격에 기인한 적대적 활동을 기반으로 #UAC-0056으로 태그되어 있습니다. 탐지 알고리즘에 즉시 접근하려면, SOC Prime 플랫폼에 가입하거나 로그인한 후 아래 링크를 따라가세요:

UAC-0056 그룹의 악성 활동을 감지하기 위한 시그마 규칙 

사이버 보안 전문가가 자신의 환경에서 악성 코발트 스트라이크 비콘의 존재를 적시에 식별할 수 있도록 탐지 규칙과 헌팅 쿼리 전체 목록을 얻으려면, 아래의 ‘Detect & Hunt’ 버튼을 클릭하세요. SOC Prime의 사이버 위협 검색 엔진을 탐색하여 UAC-0056 위협 행위자의 악성 활동을 감지하기 위한 시그마 규칙 목록과, MITRE ATT&CK® 및 CTI 참고자료, CVE 설명 등과 같은 심층적 맥락 데이터가 포함된 내용을 즉시 자세히 알아보세요.

아래의 ‘Detect & Hunt’ 위협 컨텍스트 탐색

MITRE ATT&CK® 컨텍스트

우크라이나 정부 관료를 대상으로 하는 UAC-0056 그룹의 활동에 기인한 사이버 공격의 맥락을 이해하기 위해 모든 상기 언급된 시그마 규칙은 MITRE ATT&CK® 프레임워크 에 맞추어 해당 전술과 기술을 다룹니다.