CVE-2023-38831 탐지: UAC-0057 그룹이 Rabbit Algorithm을 통해 WinRAR 제로데이를 악용하여 PicassoLoader 변종 및 CobaltStrike Beacon을 유포

[post-views]
9월 01, 2023 · 3 분 읽기
CVE-2023-38831 탐지: UAC-0057 그룹이 Rabbit Algorithm을 통해 WinRAR 제로데이를 악용하여 PicassoLoader 변종 및 CobaltStrike Beacon을 유포

The UAC-0057 해킹 단체, 일명 GhostWriter가 2023년 4월부터 8월 사이에 들에서 익스플로잇된 CVE-2023-38831로 추적되는 WinRAR 제로데이를 악용하여 사이버 위협 무대에 다시 등장하게 됩니다. CVE-2023-38831의 성공적인 익스플로잇은 공격자가 대상 시스템을 PicassoLoader 변종과 Cobalt Strike Beacon 악성코드로 감염시킬 수 있게 합니다. 특히, 두 악성 변종은 2023년 여름에 우크라이나 정부 및 교육 부문을 대상으로 한 이전 공격에서 UAC-0057에 의해 활용되었습니다.

CVE-2023-38831 분석: 우크라이나를 대상으로 한 UAC-0057 공격, WinRAR 제로데이 악용

2023년 여름의 마지막 날, CERT-UA 팀이 새로운 경고를 발표하여 우크라이나에 대한 계속적인 공격이 진행 중임을 방어자에게 알렸습니다. UAC-0057 해커들은GhostWriter라는 별명으로도 알려져 있습니다. 최신 악성 캠페인에서 적들은 CVE-2023-38831를 악용하고 있으며, 이는 WinRAR 소프트웨어 버전 6.23 이전에 영향을 미치는 제로데이입니다. 취약점 익스플로잇은 사용자가 관련 ZIP 아카이브에서 무해한 파일을 보려고 할 때 위협 행위자들이 임의 코드를 실행할 수 있게 합니다. CVE-2023-38831은 PoC 익스플로잇이 GitHub에 공개된 상태로 실제 사건에서 관찰되었습니다. 2023년 8월에는 전 세계 증권 중개인과 거래자들에게 위험을 제기하는 CVE-2023-38831 익스플로잇 시도의 증가가 관찰되었습니다.

WinRAR 보안 버그를 무기로 삼는 최신 우크라이나에 대한 캠페인은 CVE-2023-38831 익스플로잇이 포함된 아카이브 파일로 인해 감염 체인이 시작됩니다. 성공적인 익스플로잇 시도를 통해 공격자는 CMD 파일을 실행하게 되며, 이는 다시 LNK 파일을 실행합니다. 후자는 mshta.exe 유틸리티를 통해 HTA 파일을 실행합니다. 이로 인해 러시아-우크라이나 전쟁과 관련된 파일 이름으로 PDF 유혹을 생성하고 손상된 인스턴스에서 악성 JavaScript 코드를 추가로 실행합니다. 후자는 PicassoLoader의 또 다른 변종으로, 우크라이나를 대상으로 하는 공격 캠페인에서 UAC-0057 그룹이 이전에 활용한 것이며, 이는 SVG 유혹 이미지를 다운로드하고 Rabbit 암호화 알고리즘을 활용하여 악성 .NET 파일을 해독하기 위한 것입니다. 위에 언급된 .NET 파일은 취약한 장치에 Cobalt Strike Beacon 의 배포로 이어집니다.

우크라이나 단체를 대상으로 한 UAC-0057 공격과 관련된 CVE-2023-38831 익스플로잇 시도 탐지

점점 증가하는 사이버 전쟁을 고려할 때, 적극적인 사이버 방어 조치가 그 어느 때보다도 중요합니다. SOC Prime Platform은 사이버 보안 전문가들에게 보안 팀의 역량을 강화하고 SOC 투자에 대한 ROI를 최적화할 수 있는 고급 및 비용 효율적인 도구를 제공합니다.

CVE-2023-38831 WinRAR 결함과 관련된 가능성 있는 익스플로잇 시도를 탐지하기 위해, 최신 UAC-0057 캠페인과 연결된 SOC Prime의 Threat Detection Marketplace에서 주목할 만한 시그마 규칙을 제공합니다. 모든 탐지 알고리즘은 CTI로 강화되어 있으며 MITRE ATT&CK 프레임워크에 매핑되어 있습니다. 또한, 규칙은 다중 SIEM, EDR, XDR 및 데이터 레이크 형식과 호환되며, 시그마에서 네이티브 기술 형식으로의 자동 변환을 지원합니다.

컨텐츠 검색을 용이하게 하기 위해, 모든 탐지는 그룹 및 CERT-UA 보안 알림 식별자에 기반하여 “UAC-0057” 및 “CERT-UA#7435”와 같은 관련 식별자로 분류 및 태그가 지정되었습니다. 최신 UAC-0057 공격을 포괄하는 시그마 규칙의 전체 컬렉션에 대한 종합적인 접근을 위해, 단순히 아래의 탐지 탐색 버튼을 누르십시오.

탐지 탐색

정보 보안 전문가들은 또한 Uncoder AI의 이점을 활용하여, 최신 CERT-UA 경고에서 제안된 침해 징후에 기반한 즉각적인 IOC 쿼리 생성을 통해 위협 연구를 가속할 수 있습니다.

CERT-UA#7435 경고에 제공된 IoC를 즉시 사냥하기 위해 Uncoder AI를 사용하십시오.

MITRE ATT&CK 컨텍스트

SOC 팀원들은 “CERT-UA#7435” 경고에서 다루는 공격 세부 사항을 탐색할 수 있습니다. CERT-UA#7435 경고에서 위에서 언급한 시그마 규칙에 연결된 모든 관련 적 전술, 기술 및 하위 기술 목록을 찾기 위해 아래 테이블로 들어가십시오.

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.
무료 가입하기 미팅 예약하기

관련 게시물

CVE-2025-8088 탐지: WinRAR 제로데이, RomCom 악성코드를 설치하기 위해 야생에서 적극적으로 악용됨 4 분 읽기 최신 위협 CVE-2025-8088 탐지: WinRAR 제로데이, RomCom 악성코드를 설치하기 위해 야생에서 적극적으로 악용됨 by Daryna Olyniychuk CVE-2025-8292: Google Chrome Use After Free 취약점으로 인한 RCE 및 시스템 탈 3 분 읽기 최신 위협 CVE-2025-8292: Google Chrome Use After Free 취약점으로 인한 RCE 및 시스템 탈 by Daryna Olyniychuk Koske 악성코드 탐지: AI로 생성된 새로운 리눅스 위협 5 분 읽기 최신 위협 Koske 악성코드 탐지: AI로 생성된 새로운 리눅스 위협 by Veronika Telychko
모든 뉴스