CredoMap 및 Cobalt Strike 비콘 탐지: APT28 그룹과 UAC-0098 위협 행위자, 다시 우크라이나 조직 공격

2022년 6월 20일, CERT-UA는 우크라이나 조직의 사이버 공격의 새로운 물결을 경고하는 두 개의 별도 경고를 발표했습니다. 이 공격은 야생에서 적극적으로 악용되고 추적되는 악의적인 제로데이 취약점을 무기로 삼았습니다. 이는 CVE-2022-30190 aka Follina로 알려져 있습니다. CERT-UA#4842 경고에서, 사이버 보안 연구자들은 UAC-0098로 식별된 해킹 그룹이 Cobalt Strike Beacon 악성코드를 전파하는 악성 활동을 공개했습니다. 또 다른 경고인 Cobalt Strike Beacon malware. Another alert CERT-UA#4843 는 러시아 국가 지원 해킹 집단으로 유명한 APT28의 악의적인 활동에 기인한 CredoMap 악성코드의 전달을 강조합니다. 이들은 UAC-0028로도 알려져 있습니다. APT28 also known as UAC-0028. 

우크라이나에 대한 사이버 공격에서 관찰된 APT28 및 UAC-0098의 악성 활동 탐지

CERT-UA#4842 및 CERT-UA#4843 경고에 포함된 악성 활동에 대해 사이버 보안 실무자가 선제적으로 방어할 수 있도록, SOC Prime의 Detection as Code 플랫폼은 전용 시그마 규칙을 제공합니다. 간소화된 콘텐츠 검색을 위해 모든 탐지 알고리즘은 관련 공격에 연관된 적대적 활동에 따라 태그가 지정되며, 예를 들면 #UAC-0098와 같은 태그를 기반으로 하거나, 해당 CERT-UA 경고 식별을 기반으로 합니다, 예를 들어 CERT-UA#4843와 같은 경우입니다. SOC Prime 사용자들은 플랫폼에 현재 계정으로 로그인하거나 전용 규칙 키트에 접근하기 위해 새 계정을 만들고 활성화하도록 안내받습니다:

CERT-UA#4842 경고에 포함된 최근 공격을 포함하여 UAC-0098 그룹의 악성 활동을 탐지하기 위한 시그마 규칙

CERT-UA#4843 경고에 포함된 악성 활동을 탐지하기 위한 시그마 규칙

해당 태그로 필터링된 상기 언급된 모든 SOC 콘텐츠 항목은 MITRE ATT&CK® 프레임워크 와 정렬되어 있으며, 업계 선두의 SIEM, EDR, XDR 솔루션과 호환되어 팀이 고유한 위협 프로필 및 환경 요구에 맞게 탐지 및 사냥 기능을 조정할 수 있도록 합니다.

또한, UAC-0028로도 식별된 APT28 해킹 집단의 악성 활동을 탐지하기 위한 광범위한 시그마 기반 규칙 목록을 아래에서 찾을 수 있습니다. 이 집단은 CredoMap 악성코드를 확산시키는 최신 캠페인뿐만 아니라 우크라이나에 대한 이전 피싱 공격에서도 발견된 바 있습니다:

APT28/UAC-0028의 악성 활동을 탐지하기 위한 시그마 규칙

CVE-2022-30190 취약점 악용 탐지에 대한 포괄적인 시그마 규칙 목록을 보려면, 등록된 SOC Prime 사용자는 Detect & Hunt 버튼을 클릭하여 전용 탐지 스택으로 즉시 세부 탐색할 수 있습니다. 사이버 보안 전문가는 등록 없이도 SOC Prime을 탐색하여 최신 사이버 위협 트렌드를 즉시 탐색하고, 새로 릴리스된 시그마 규칙에 접근하며, 관련 문맥 정보를 얻을 수 있습니다.

Detect & Hunt 위협 문맥 탐색

CredoMap 및 Cobalt Strike Beacon 악성코드 분배: 우크라이나에 대한 최신 공격 개요

2022년 6월, 사이버 보안 연구원들은 지속적인 야생에서의h공격을 관찰했습니다 . 이 공격은 Windows의 CVE-2022-30190 제로데이 취약점을 악용하고 Cobalt Strike Beacon 악성코드를 전파하여 우크라이나 정부 기관을 대상으로 이루어졌습니다. 우크라이나 조직을 표적으로 한 최신 악성 캠페인에서 APT28 및 UAC-0098 위협 행위자는 CVE-2022-30190 취약점 악용을 지속적으로 활용하여 유인 첨부 파일을 사용하여 Cobalt Strike Beacon 및 CredoMap 악성코드 샘플을 전달하려고 시도했습니다.

위에서 언급한 CERT-UA 경고에 포함된 최신 공격에서 사용된 두 가지 악성 코드 유형은 이미 지속적인 글로벌 사이버 전쟁 의 피싱 공격 벡터를 나타냅니다. 올해 초 2022년 4월에 UAC-0098 해킹 집단으로 알려진 TrickBot 은 우크라이나 관리를 대상으로 한 피싱 캠페인에서 Cobalt Strike Beacon을 퍼뜨리는 것으로 밝혀졌으며, Azovstal과 관련된 이메일을 활용했습니다. 러시아와 연관된 APT-28 그룹, 즉 UAC-0028의 이전 피싱 캠페인에 관한 한, 2022년 3월에 그것은 우크라이나 국가 기관을 대상으로 한 사이버 공격의 배후에 있었으며, CredoMap 악성코드의 최신 버전인 CredoMap_v2를 활용했습니다.

최신 캠페인에서 강조된 CERT-UA#4842 and CERT-UA#4843 경고에 따르면, 적대자는 감염 체인을 유발하고 HTML 파일 다운로드를 초래하는 유인 문서를 이용했으며, 그 후에는 악성 JavaScript 코드를 실행하여 타협된 시스템에 악성코드를 추가로 확산시켰습니다. UAC-0098 그룹에 귀속된 사이버 공격에서 유인 DOCX 파일은 이메일 스푸핑을 통해 가짜 이메일 발신자를 우크라이나 국세청으로 가장하여 배포되었습니다.

현대 사이버 위협 환경을 형성하는 공격 볼륨이 증가함에 따라, 사이버 보안 전문가는 향상된 사이버 방어 능력과 간소화된 위협 조사를 위한 새로운 방법을 끊임없이 찾고 있습니다. SOC Prime의 Detection as Code 플랫폼 은 협력적인 사이버 방어의 힘을 활용하여 글로벌 조직이 위협 탐지를 강화하고 위협 사냥 속도를 그 어느 때보다 더 효율적으로 가속화할 수 있도록 합니다. 또한, 탐지 규칙 작성에 열정적인 개별 사이버 보안 전문가는 Threat Bounty 프로그램 에 참여하여 그들의 콘텐츠 기여가 더 안전한 미래 구축에 어떻게 도움이 되는지 실시간으로 확인할 수 있는 멋진 기회를 가질 수 있습니다.