DarkCrystal RAT 탐지: 러시아 연계 APT, 우크라이나 통신 회사 공격

2022년 6월 24일, CERT-UA는 경고했습니다 우크라이나의 통신 제공업체를 목표로 하는 새로운 악성 캠페인에 대해서. 조사에 따르면, 러시아와 연관된 적들이 다크크리스탈 원격 접근 트로이 목마(RAT)를 전달하는 대규모 피싱 캠페인을 시작했으며, 이는 영향을 받은 인스턴스에서 정찰, 데이터 절취 및 코드 실행을 수행할 수 있습니다. 이 악성 활동은 UAC-0113으로 추적되며, 이는 중간 수준의 신뢰도로 우크라이나 대상의 여러 사이버 공격에서 이전에 관찰된 러시아 해킹 그룹 Sandworm에 귀속됩니다.

SandWorm Group, 즉 UAC-0113에 의해 사용된 DarkCrystal RAT 탐지

위협 탐지 역량을 강화하고 DarkCrystal RAT 감염을 포함한 Sandworm APT의 악성 활동을 신속하게 식별하기 위해, SOC Prime 팀과 Threat Bounty Program 컨텐츠 기고자들이 개발한 엄선된 시그마 규칙 모음을 탐색하세요:

Sandworm APT 그룹(UAC-0113)의 악성 활동을 탐지하기 위한 시그마 규칙

All 시그마 규칙 위의 규칙은 MITRE ATT&CK® 프레임워크 에 맞추어 위협 가시성을 향상시키고 25개 이상의 SIEM, EDR 및 XDR 솔루션과 호환됩니다. 사이버 보안 전문가들은 위의 악성 활동과 연관된 #UAC-0113 태그를 사용하여 Threat Detection Marketplace 콘텐츠 라이브러리를 탐색하여 콘텐츠 검색을 간소화할 수 있습니다.

또한 사이버 보안 실무자들은 관련 IOCs 제공에 의해 제공된 다크크리스탈 RAT 감염을 탐지할 수 있습니다. SOC Prime의 Uncoder CTI 툴을 사용하여, 위협 헌터와 탐지 엔지니어들은 선택한 SIEM 또는 XDR 환경에서 실행할 수 있도록 즉시 준비될 수 있는 맞춤형 IOC 쿼리를 즉석에서 생성할 수 있습니다.

SOC Prime 플랫폼의 등록 사용자는 ‘Detect & Hunt’ 버튼을 클릭하여 Sandworm APT와 연관된 전체 탐지 콘텐츠 목록에 즉시 접근할 수 있습니다. 사이버 위협 분야의 최신 동향 및 신흥 과제를 해결하기 위한 관련 탐지 규칙을 배우고 싶으신가요? 특정 익스플로잇, CVE 또는 관련된 Sigma 규칙 및 포괄적 메타데이터와 함께 제공되는 악성코드를 검색할 SOC Prime의 사이버 위협 탐색 엔진에 접근하세요.

Detect & Hunt 위협 컨텍스트 탐색

다크크리스탈 RAT 분석: 우크라이나 통신 조직에 대한 최신 공격, Sandworm (UAC-0113)에 의해

다크크리스탈 RAT, 즉 DCRat,는 2018년에 처음 활동을 시작했습니다. 이 RAT는 주로 러시아 해커 포럼을 통해 배포되는 상업적 백도어입니다. 오늘날에는 그 가격이 $9를 초과하지 않는 것으로 광고되었습니다.

최근 우크라이나의 통신 운영자를 대상으로 한 공격들에서, 적들은 거짓 법적 도움을 제공하는 전쟁 관련 내용으로 목표를 유인한 이메일들을 배포했습니다. CERT-UA는 이 악성 스팸 캠페인이 감염된 장치에 다크크리스탈 RAT를 몰래 심을 수 있는 악성 RAR 파일의 배포를 특징으로 했다고 보고했습니다. targeting telecommunication operators in Ukraine, adversaries distributed emails, luring targets with war-related bogus legal aid promises, CERT-UA reports. The malspam campaign featured the distribution of the malicious RAR file that can be used to sneak DarkCrystal RAT onto compromised devices.

우크라이나의 통신 조직이 이 악성 스팸 캠페인의 주요 목표라는 가정은 피해자 프로필에서 추출한 데이터와 다크크리스탈 RAT의 제어 도메인에 기초하고 있습니다. 주목할 만한 점은 6월 초에 시작된 사이버 전선에서의 최근 우크라이나 미디어 조직에 대한 공격이 Sandworm APT 그룹에 의해 수행되었다는 것입니다. Sandworm APT 그룹.

MITRE ATT&CK® 컨텍스트

위협 가시성을 개선하고 위협 행위자 행동 패턴을 철저히 분석하기 위해, UAC-0113 해커 집단의 악성 활동을 탐지하는 모든 시그마 규칙은 MITRE ATT&CK에 맞추어 관련 전술 및 기법을 다룹니다: