CrescentImp 맬웨어 탐지: 러시아 연관 샌드웜 APT, 우크라이나 미디어 조직 타겟

유명한 Microsoft Office 제로데이 취약점으로 추적되는 CVE-2022-30190 일명 Follina가 여전히 전 세계 여러 해킹 조직에 의해 적극적으로 악용되고 있습니다. 2022년 6월 10일, CERT-UA는 새로운 경고를 발행하여 우크라이나 언론 기관을 대상으로 한 지속적인 사이버 공격에 대한 경고를 발표했습니다. 위협 행위자들은 최신 악성 이메일 캠페인에서 CVE-2022-30190 취약점을 활용하여 CrescentImp라는 악성코드 변종을 전달하고 대상 시스템을 감염시키고 있습니다. 악성 활동은 UAC-0113으로 식별되며, 연구자들에 따르면 이는 이전에 우크라이나 조직에 대한 사이버 공격에서 관찰된 러시아 해킹 그룹 Sandworm에 기여할 수 있습니다.

Sandworm APT 그룹 aka UAC-0113에 의한 최신 공격에서 사용된 CrescentImp 악성코드 탐지

야생에서 적극적으로 악용되고 있는 새로 발견된 CVE-2022-30190 취약점을 악용하는 사이버 공격이 규모와 영향력이 증가하고 있으며, 이는 다양한 산업 부문의 글로벌 조직들을 심각한 위험에 노출시키고 있습니다. 악의적인 이메일 캠페인에서 이메일 첨부 파일을 활용하는 것은 가장 인기 있는 공격 벡터 중 하나로, 우크라이나 미디어 부문을 대상으로 한 최신 사이버 공격에서 가속화되고 있습니다. 

조직이 인프라 내에서 CrescentImp 감염을 적시에 발견하고 관련된 Sandworm APT의 악성 활동에 대해 사전에 방어할 수 있도록 SOC Prime 팀과 Threat Bounty Program 컨텐츠 기여자들이 작성한 포괄적인 탐지 콘텐츠 목록을 탐색하세요:

Sandworm APT 그룹(UAC-0113)의 악성 활동을 탐지하기 위한 시그마 규칙

All SOC Prime 플랫폼에서 사용할 수 있는 위의 시그마 규칙은 MITRE ATT&CK® 프레임워크 와 일치하여 향상된 위협 가시성을 제공하며, 업계에서 선도하는 SIEM, EDR, XDR 솔루션과 호환됩니다. 스트림라인된 검색 경험을 위해, 사이버 보안 전문가들은 관련 태그 으로 탐지 콘텐츠 라이브러리를 즉시 탐색할 수 있습니다. 으로 탐지 콘텐츠 라이브러리를 즉시 탐색할 수 있습니다. 대안적으로, 사이버 수비수들은 또한

CERT-UA 연구원들에 의해 제공되는 IOCs 를 사용하여 CrescentImp 감염을 탐지할 수 있습니다. SOC Prime의 모듈을 활용하여, 위협 헌터와 사이버 위협 인텔리전스 전문가들은 즉시 관련 IOC 쿼리를 생성하여 SIEM 또는 XDR 환경에서 실행할 수 있습니다. 모듈을 활용하여, 위협 헌터와 사이버 위협 인텔리전스 전문가들은 즉시 관련 IOC 쿼리를 생성하여 SIEM 또는 XDR 환경에서 실행할 수 있습니다. 등록된 SOC Prime 사용자들은 CVE-2022-30190 취약점 일명 Follina에 대한 전체 탐지 및 사냥 콘텐츠 목록을

탐지 및 사냥 버튼을 클릭하여 즉시 사용할 수 있습니다. 사이버 위협 영역의 최신 트렌드와 신규 시그마 규칙을 등록 없이도 사용할 수 있기를 원하시나요? SOC Prime의 사이버 위협 검색 엔진을 탐색하여 특정 APT, 익스플로잇, 혹은 CVE를 관련 시그마 규칙 및 포괄적인 문맥 정보와 함께 즉시 검색하세요. 위협 문맥 탐색

버튼을 클릭하여 즉시 사용할 수 있습니다. 사이버 위협 영역의 최신 트렌드와 신규 시그마 규칙을 등록 없이도 사용할 수 있기를 원하시나요? SOC Prime의 사이버 위협 검색 엔진을 탐색하여 특정 APT, 익스플로잇, 혹은 CVE를 관련 시그마 규칙 및 포괄적인 문맥 정보와 함께 즉시 검색하세요. CrescentImp 설명: CVE-2022-30190를 사용하는 Sandworm APT/UAC-0113에 기인한 공격 분석

2022년 6월 초, 글로벌 사이버 위협 영역은 CVE-2022-30190 혹은

를 악용한 현장 공격으로 가득차 있었습니다. 우크라이나에 대한 사이버 공격도 예외는 아니었습니다. 최신 악성코드 캠페인 시작 2주 전, CERT-UA는 를 악용한 현장 공격으로 가득차 있었습니다. 우크라이나에 대한 사이버 공격도 예외는 아니었습니다. 최신 악성코드 캠페인 시작 2주 전, CERT-UA는재발한 피싱 공격 에 대해 경고하여 우크라이나 주체에 대한 Cobalt Strike Beacon 악성코드를 전파하는 Windows CVE-2021-40444 및 CVE-2022-30190 제로데이 결함을 악용하고 있다고 알렸습니다. 사이버 공격의 새로운 물결에서

In CVE-2022-30190 취약점을 사용하는 Sandworm APT 그룹에 귀속된 악성 이메일이 라디오 방송국 및 뉴스 에이전시를 포함한 언론 기관을 대상으로 우크라이나 주체의 손상된 이메일 주소에서 대량으로 전파되고 있습니다. 이 이메일에는 한 번 열리면 HTML 파일을 다운로드하고 추가로 악성 자바스크립트 코드를 실행하여 CrescentImp 악성 코드를 손상된 시스템에 전파하는 감염 체인을 트리거하는 미끼 첨부 파일이 포함되어 있습니다. CrescentImp는 트로이 목마 바이러스에 속하며, 그 기원의 세부 사항은 현재 조사 중입니다. 러시아와 연계된 Sandworm 해킹 집단의 우크라이나 조직을 겨냥한 악성 활동은 러시아의 우크라이나 전면적 침공 이후 2022년 4월로 거슬러 올라가며, 이 집단은 인류 역사에서 두 번째 전력 중단 사이버 공격에 참여한

Industroyer2 및 악성코드 변종을 활용했습니다. 악성코드 변종을 활용했습니다. 상황에 관계없이 출현하는 위협에 앞서 나가기 위해 SOC Prime의 탐지 코드 플랫폼에 가입하여 향상된 위협 감지 및 사냥 기능에서 즉각적인 가치를 얻을 준비를 하세요. 자신의 기여 방식과 전문 지식을 통화하여 자신의 위협 헌팅 기술을 반복적인 금융 혜택으로 전환하는 방법을 보고 싶으신가요? SOC Prime의 크라우드소싱 이니셔티브의 일원이 되어,

를 통해 자신만의 기여를 하고 자신의 위협 헌팅 기술이 재발생하는 금융 혜택으로 어떻게 변환되는지 실시간으로 확인하세요. SOC Prime’s Detection as Code platform UAC-0013에 의해 태그된 탐지 콘텐츠 Threat Bounty Program, and see in action how to turn your threat hunting skills into recurrent financial benefits.