DarkCrystal RAT 멀웨어 탐지: UAC-0145 해커가 비인가 Microsoft Office 소프트웨어를 초기 공격 벡터로 악용

2022년 우크라이나에 대한 사이버 공격이 250% 증가하고 그 중 2,000건 이상이 러시아 관련 위협 행위자에 의해 개시된 이래, 본격적인 전쟁 발발 이후 사이버 방어자들은 우크라이나와 그 동맹국의 사이버 레질리언스를 강화하는 방법을 찾고 있습니다.

2023년 4월 3일, CERT-UA는 새로운 경고를 발령했습니다 우크라이나 유틸리티 기업 중 하나의 정보 및 통신 기술에 대한 무단 접근과 관련된 악성 활동을 다룹니다. 사이버 사건에 대응하여, CERT-UA는 즉시 디지털 포렌식 조사를 수행했으며, 침해 사슬이 무허가 Microsoft Office 2019 소프트웨어 설치로 인해 유발된 것으로 밝혀졌습니다. 이로 인해 위협 행위자가 DarkCrystal RAT 악성코드 를 손상된 시스템에 배포할 수 있게 되었습니다. 추적된 적의 활동은 UAC-0145 해킹 그룹에 의해 발생한 것으로 추정됩니다. 

UAC-0145 그룹에 의한 DarkCrystal RAT 확산 탐지 

우크라이나를 대상으로 한 최근 사이버 사건에서 UAC-0145 해킹 집단에 의해 확산된 DarkCrystal RAT 피해와 관련된 악성 활동을 신속히 식별하기 위해, SOC Prime 플랫폼은 관련 Sigma 규칙 세트를 정리합니다. 모든 탐지 알고리즘은 CERT-UA 경고와 그룹 식별자에 기반하여 “CERT-UA#6322”와 “UAC-0145”라는 맞춤 태그를 통해 필터링되어 SOC 콘텐츠 선택을 간소화합니다.

클릭하세요 탐지 항목 탐색 버튼을 누르면 MITRE ATT&CK® 프레임워크 v12 에 정렬되고 심층적인 사이버 위협 상황이 포함된 전용 Sigma 규칙 모음을 확인할 수 있습니다. CERT-UA#6322 경고에 의해 다루어진 악성 활동을 감지하기 위한 Sigma 규칙은 27개 이상의 SIEM, EDR, XDR 솔루션과 호환되어 특정 보안 요구에 맞출 수 있습니다. CERT-UA#6322 alert are compatible with 27+ SIEM, EDR, and XDR solutions to fit particular security needs.

탐지 항목 탐색

보안 엔지니어는 SOC Prime의 Uncoder AI 도구를 통해 선택된 SIEM 또는 EDR 환경 내에서 최신 CERT-UA#6322 경고와 관련된 파일, 호스트, 네트워크 IOCs를 즉시 조사하여 IOC 매칭을 자동화할 수 있습니다. 

UAC-0145에 의해 사용된 무허가 Microsoft Office: 공격 분석

하나의 새로운 CERT-UA#6322 alert 는 우크라이나 유틸리티 조직을 대상으로 한 최근 사이버 사건에서 초기 공격 벡터로서 활용된 무허가 Microsoft Office 소프트웨어의 악용에 대한 세부 정보를 제공합니다. 조사에 따르면 CERT-UA 연구원들은 2023년 3월 19일 무허가 Microsoft Office 2019 버전의 설치로 인해 초기 침해가 발생했음을 밝혀냈습니다. 해당 소프트웨어는 공개 BitTorrent 트래커에서 다른 악성 실행 파일과 함께 다운로드되었습니다. 실행 시, 이는 XOR 해독 및 Base64 형식으로부터의 디코딩을 일으켜 DarkCrystal RAT 악성코드로 식별된 악성 실행 파일을 생성 및 실행하여 Microsoft Office 2019를 설치하고 감염을 확산시킵니다. DarkCrystal RAT는 스스로를 복제하여 최대 20개의 버전을 손상된 시스템에 생성할 수 있으며, Windows 레지스트리의 “Run” 분기에 해당 키를 추가하고 WMI를 통해 예약된 작업을 만듭니다.  DarkCrystal RAT 악성코드 in the recent cyber incident targeting the Ukrainian utility organization. According to the investigation, CERT-UA researchers revealed that the initial compromise took place on March 19, 2023, due to the installation of the unlicensed Microsoft Office 2019 version on the targeted systems. The software was downloaded from the public BitTorrent tracker along with the malicious executable file. Once launched, the latter leads to XOR decryption and decoding from the Base64 format, creating and running the malicious executable file identified as DarkCrystal RAT malware, which initiates the installation of Microsoft Office 2019 and spreads the infection further. DarkCrystal RAT is capable of duplicating itself and creating up to 20 versions on the compromised system, as well as adding the corresponding keys in the “Run” branch of the Windows registry and creating scheduled tasks via WMI. 

2023년 3월 20일, 위협 행위자들은 이미 설치된 DarkCrystal RAT 악성코드를 이용하여 Python 인터프리터 v. 2.7.18, 원격 액세스 소프트웨어 DWAgent 및 다른 실행 파일을 다운로드하여 첨단 컴퓨터에서 DWAgent 도구를 실행했습니다. DarkCrystal RAT 및 DWAgent 원격 액세스 유틸리티 설치의 결과로, 위협 행위자들은 목표 조직의 환경에 무단 접근을 달성했습니다. 

CERT-UA에 따르면, 적들은 이전의 악성 캠페인에서 이 초기 침해 벡터를 이용했습니다. Microsoft Office 제품 활용 외에도, 비공식 웹 리소스에서 OS 업데이트를 다운로드하거나 암호 복구 유틸리티나 악성코드 스캐너 도구와 같은 다른 소프트웨어를 다운로드하여 감염 사슬을 유발할 수 있습니다. 이러한 사이버 공격의 위험을 해결하기 위해 조직은 사이버 보안 인식을 높이고 소프트웨어 설치 및 업데이트에 공식 소스만을 사용해야 합니다. 

MITRE ATT&CK® 상황

CERT-UA#6322 경고에 의해 다루어진 3월 사이버 사건 뒤의 상황을 탐색하기 위해, 해당 Sigma 규칙들은 모든 관련 부분에서 MITRE ATT&CK에 맞춰져 관련 전술 및 기법을 다룹니다: