코발트 스트라이크 비콘 악성코드, 아조프스탈 관련 표적 피싱 이메일 통해 확산: 우크라이나 정부 기관에 대한 사이버 공격

2022년 4월 18일에 CERT-UA 에서 우크라이나 국가 기관을 대상으로 한 지속적인 사이버 공격에 대한 경고를 발령했습니다. 연구에 따르면 정부 관계자들은 Azovstal과 관련된 이메일을 사용한 타겟 피싱 공격에 노출되었으며, 이러한 이메일에는 Cobalt Strike Beacon 악성코드가 확산되는 악성 첨부 파일이 포함되어 있었습니다. 감지된 활동은 UAC-0098로 추적되는 해킹 집단과 연관된 행동 패턴을 반영하고 있으며 malware. The detected activity reflects the behavior patterns associated with the hacking collective tracked as UAC-0098 also known as TrickBot.

Cobalt Strike 악성코드를 이용한 피싱 사이버 공격: 개요 및 분석

한 달 넘게 우크라이나 정부 기관들은 피싱 공격 에 직면했으며, 이 공격은 악성 파일을 포함한 이메일 미끼를 퍼뜨려 순차적으로 서로를 다운로드하여 대상 시스템에 Cobalt Strike Beacon을 포함한 여러 악성코드 스트레인을 감염시켰습니다. 기본 악성코드 페이로드 는 팀 서버와의 연결을 수립하고 고급 공격자를 모델링하기 위해 설계되었습니다.  used to create a connection to the team server and designed to model advanced attackers. 

Cobalt Strike Beacon은 CVE-2018-20250 취약점 in the 을 악용한 사이버 공격을 포함하여 멀웨어 유포 캠페인에서 이전에 사용된 것으로 알려져 있습니다. 을 악용한 사이버 공격을 포함하여 멀웨어 유포 캠페인에서 이전에 사용된 것으로 알려져 있습니다. 압축기.

이번 사이버 공격에서는 스팸 이메일을 통해 악성 아카이브가 전달되었으며 감염 체인이 작동하여 해로운 스크립트와 기타 페이로드를 실행했습니다.  가장 최근의 사이버 공격 에서 UAC-0098 위협 행위자들은 Azovstal 관련 미끼 주제를 가진 피싱 이메일을 통해 악성 페이로드를 확산시켰습니다. 문제의 대상 이메일에는 XLS 첨부 파일과 감염 체인에 관여한 악성 매크로가 포함되어 있었으며, 이는 Cobalt Strike Beacon을 전달하고 피해자의 컴퓨터를 손상시키는 결과를 초래했습니다. 적용된 암호화 기술을 바탕으로 드러난 활동은 악의적인 러시아 연계 악성코드 갱 TrickBot. 

UAC-0098에 의한 Cobalt Strike Beacon malware 확산 사이버 공격 탐지를 위한 Sigma 행동 기반 콘텐츠

보안 전문가들은 SOC Prime 팀의 시그마 기반 탐지 규칙 집합을 통해 Cobalt Strike Beacon을 퍼뜨리는 UAC-0098 해킹 그룹이 관련된 사이버 공격에 대해 사전 방어를 할 수 있습니다:

UAC-0098에 의해 확산된 Cobalt Strike Beacon을 탐지하기 위한 Sigma 규칙

전체 탐지 스택은 관련 위협에 대한 콘텐츠 검색을 간소화하기 위해 #UAC-0098 로 태그되었습니다. 규칙에 접근하기 전에 SOC Prime의 Detection as Code 플랫폼에 가입하거나 기존 계정으로 로그인하십시오. 

팀은 또한 위에서 언급한 헌팅 콘텐츠와 함께 UAC-0098 해킹 그룹의 활동과 관련된 위협을 검색할 수 있습니다. SOC Prime의 Quick Hunt 모듈을 사용합니다.

MITRE ATT&CK® 컨텍스트

보안 실무자들은 MITRE ATT&CK 프레임워크를 기반으로 우크라이나 국가 기관을 대상으로 한 최신 Azovstal 관련 피싱 공격의 배경에 대한 컨텍스트를 파악할 수 있습니다. 모든 전용 시그마 기반 콘텐츠는 최신 MITRE ATT&CK 프레임워크 v.10과 일치하며 해당 전술 및 기술을 다루고 있습니다: