CredPump, HoaxPen, HoaxApe 백도어 탐지: UAC-0056 해커, 1년 전 계획한 우크라이나 정부 웹사이트 공격 개시
목차:
우크라이나에서의 본격적인 전쟁 발발 1주년을 앞두고, 사이버 수비자들은 러시아의 공격 세력에 의한 우크라이나 및 그 동맹국에 대한 잠재적 공격의 위험성을 제기했습니다. 2월 23일, CERT-UA 사이버보안 연구자들은 UAC-0056 해킹 그룹에 기인한 악성 활동을 밝혀냈습니다. 이 그룹은 2022년 7월 우크라이나에 대한 피싱 공격 벡터를 활용한 악성 캠페인에서 관찰되었습니다. 발견된 적대적 캠페인에서, 위협 행위자들은 정부 웹사이트의 무결성과 가용성을 방해하기 위해 여러 백도어를 활용하려 했으며, 이는 1년 이상 전에 심어진 것이었습니다.
러시아 관련 UAC-0056 그룹에 의한 우크라이나에 대한 파괴적 사이버 공격 분석
2023년 2월 23일, 미국 CISA는 경고를 발표하여 미국과 유럽의 조직들이 러시아의 공격자들에 의한 잠재적인 사이버 공격에 대응하여 사이버 경계를 강화할 것을 촉구했습니다. 사이버 수비자들은 러시아의 우크라이나 전면 침공 1주년을 기념하는 다수의 웹사이트에 대한 파괴적 공격의 높은 위험성에 대해 조직 및 개인 사용자들에게 경고했습니다. 이 경고는 CERT-UA 연구자들이 우크라이나 정부 웹사이트에 대한 악성 파괴 활동을 감지한 직후 발표되었으며, 해당 내용은 관련 CERT-UA#6060 경고에 포함되었습니다.
CERT-UA 사이버보안 연구자들은 우크라이나 정부 기관을 대상으로 한 사건을 발견했고, 이는 국가 소유의 정보 웹사이트의 무결성과 가용성을 손상시키려는 것이었습니다. 관찰된 행동 패턴을 기반으로, 이 적대적 활동은 UAC-0056 해킹 집단 (DEV-0586, unc2589) 혹은 엠버 베어로 귀속될 수 있습니다.
해킹 집단은 중반 2022년 우크라이나 국가 기관을 대상으로 한 일련의 피싱 공격의 배후에 있었으며, Cobalt Strike Beacon 악성코드를 전파했습니다. 엠버 베어는 러시아 국가 지원 사이버 스파이 집단으로 추측되는 그룹으로, 2021년 3월부터 사이버 위협 영역에서 관찰되었으며, 주로 우크라이나와 조지아, 그리고 유럽과 미국의 여러 산업 분야(금융 및 제약 포함)를 대상으로 했습니다. 러시아 관련 UAC-0056 그룹은 또한 WhisperGate 데이터 삭제 공격 의 배후에 있었을 수도 있습니다.
2023년 2월 23일, 연구자들은 전날 밤 공격자들이 사용했던 것으로 관찰된 암호화된 웹 쉘 중 하나를 공개했습니다. 악성 활동의 결과로, 루트 웹 카탈로그에 새로운 “index.php” 파일이 생성되었습니다. 후자는 손상된 웹 리소스의 홈페이지 내용을 수정할 수 있게 했습니다. 위협 행위자들은 IP 주소를 사용하여 웹 쉘과 통신했으며, 이들 중에는 이전 계정 남용으로 인해 다른 해킹된 조직의 이웃 장치에 속했던 것들도 포함되었습니다.
이 진행 중인 캠페인에서, 적대자들은 악명 높은 SSH 백도어 CredPump(램 모듈로 사용)를 활용했으며, 이를 통해 공격자가 원격 SSH 접근을 얻고 SSH 기반 연결을 통한 자격 증명 로깅을 가능케 했습니다. 다른 발견된 악성코드 변종으로는 HoaxPen 및 HoaxApe 백도어가 있으며, 2022년 2월에 코드 실행을 위해 배포되었습니다. 이들은 악성 캠페인을 시작하기 1년 전에 배포되었습니다.
공격 수명 주기의 초기 단계에서는, 위협 행위자들이 HoaxPen 백도어를 배포하기 위해 GOST(Go Simple Tunnel) 및 Ngrok 유틸리티를 포함한 다른 악성코드 샘플을 사용했습니다. 특히, 위협 행위자들은 악성 캠페인을 시작하기 전에 대상 시스템에 대한 비인가 원격 접근을 계획했습니다.
CERT-UA#6060 경고에 포함된 UAC-0056 그룹의 악성 활동 탐지
CERT-UA와 CISA는 우크라이나 및 그 동맹국에 대한 지속적이고 잠재적인 러시아 관련 파괴적 행동을 경고하는 경고를 발행함에 따라, 조직과 개인 사용자는 관련 악성 활동에 대비하여 즉각적이고 적극적인 방어 조치를 취하고 사이버 경계를 강화해야 합니다. SOC 프라임의 Detection as Code 플랫폼은 악명 높은 UAC-0056 그룹의 적대적 활동을 탐지하기 위한 Sigma 규칙 세트를 큐레이션합니다. 이 규칙은 최신 캠페인별로 커버리지가 제공되며, CERT-UA#6060 경고에 포함되었습니다. 탐지는 MITRE ATT&CK® 프레임워크 v12와 정렬되어 있으며, 조직 별 환경에 배포할 준비가 된 27개 이상의 SIEM, EDR, XDR 솔루션으로 즉시 변환 가능합니다. 간소화된 콘텐츠 검색을 위해, 모든 Sigma 규칙은 CERT-UA 경고 식별자에 기반해 해당되는 맞춤 태그 “CERT-UA#6060”으로 필터링됩니다.
클릭하여 탐지 목록 탐색 버튼을 눌러 ATT&CK 참조 및 CTI 링크, 완화 조치, Sigma 규칙에 연결된 실행 가능한 이진 파일과 같은 심층 사이버 위협 컨텍스트로 풍부해진 관련 탐지 알고리즘의 전체 목록에 접근할 수 있습니다.
MITRE ATT&CK 컨텍스트
CERT-UA#6060 경고에 보고된 최신 UAC-0056 악성 캠페인의 배경 컨텍스트를 탐색하려면, 모든 전용 Sigma 규칙이 ATT&CK로 자동 태그되어 해당되는 전술 및 기술을 다룹니다.
2022년 2월 24일 이후로, 러시아는 우크라이나 및 그 동맹국에 대한 2,100건 이상의 사이버 공격을 실행했으며, 일부는 UAC-0056 해커의 최신 활동 상황과 같이 이전에 계획된 것이었습니다. 항상 현재와 새로 떠오르는 러시아 관련 위협을 앞서 나갈 수 있도록 돕기 위해, 자선 기반 #Sigma2SaveLives 구독 을 통해 러시아 국가 지원 APT 그룹에 대한 500개 이상의 Sigma 규칙과 귀하가 선택한 50개의 탐지에 직접 액세스할 수 있습니다. 수익의 100%가 우크라이나 방어를 지원하기 위해 기부되는 이 구독을 통해, https://my.socprime.com/pricing/.
