샌드웜 APT 공격 탐지: 러시아 정부 후원 해커, 우크라이나를 표적으로 악성 Windows KMS 활성화 도구 배포
목차:
10년 넘게 러시아 지원을 받은 Sandworm APT 그룹 (UAC-0145로 추적되기도 하는, APT44)는 우크라이나 조직을 지속적으로 표적으로 삼아 왔으며, 주로 국가 기관과 중요한 인프라에 집중하고 있습니다. 전면 침공 이후, 이 GRU 관련 군사 사이버 스파이 그룹은 우크라이나 표적에 대한 공격을 강화했습니다. 2025년 2월에 분석된 최신 악성 캠페인은 2023년부터 시작된 것으로 보입니다. 이 작전은 트로이 목마화된 Microsoft Key Management Service (KMS) 활성화 도구와 가짜 Windows 업데이트를 이용하여 우크라이나 시스템에 침투합니다.
Sandworm 해커의 공격 탐지하기
우크라이나와 그 동맹국에 대한 사이버 스파이 캠페인의 증가하는 물결은 진화하는 사이버 위협 환경의 주요 요소로 남아 있습니다. 러시아 지원 해커들은 우크라이나를 실험장으로 사용해 전술을 정교하게 다듬은 후 글로벌로 배포합니다. 최근 밝혀진 대규모 작전은, 트로이 목마화된 Windows KMS 도구와 가짜 업데이트를 이용하여 우크라이나 시스템에 침투하는 이 상승하는 위협을 강조합니다.
보안 팀이 잠재적 침입을 파악하는 데 도움이 되도록, SOC Prime 플랫폼 은 Sandworm TTPs를 다루는 Sigma 규칙 세트를 제공하여 집단 사이버 방어를 지원합니다. 탐지 스택은 자동화된 위협 사냥, AI 기반 탐지 공학, 지능형 위협 탐지를 위한 완전한 제품 제품군이 동반됩니다. 아래의 탐지 결과 탐색 버튼을 눌러 최신 Sandworm 공격을 탐지하는 데 도움을 주는 전용 규칙 스택으로 바로 탐색하십시오.
탐지는 여러 보안 분석 솔루션과 호환되며 MITRE ATT&CK에 매핑됩니다.®뿐만 아니라 각 규칙에는 위협 인텔 참조, 공격 타임라인, 우선 대응 권장 사항 등을 포함한 광범위한 메타데이터가 풍부하게 포함되어 있습니다.
Sandworm APT 공격을 회고적으로 분석하기 위한 보다 관련성 있는 콘텐츠를 찾는 보안 전문가는 “Sandworm” 및 “UAC-0145” 태그로 위협 탐지 마켓플레이스를 검색하여 더 넓은 규칙 세트를 검토할 수 있습니다.
위협 조사를 가속화하기 위해, 사이버 방어자들은 또한 EclecticIQ의 분석에서 제공된 IOCs를 사냥할 수 있습니다. Uncoder AI를 활용하여 IOCs를 매끄럽게 해석하고 선택한 SIEM 또는 EDR 환경에서 실행할 준비가 된 맞춤형 쿼리로 변환합니다. 이전에는 기업 고객에게만 제공되었던 Uncoder AI가 이제 개별 연구자에게도 제공되어 전체 기능을 제공합니다. 자세한 내용을 확인하십시오 Uncoder AI to seamlessly parse IOCs and convert them to custom queries ready to run in a chosen SIEM or EDR environment. Previously available only to corporate clients, Uncoder AI is now accessible to individual researchers, offering its full capabilities. Check out the details 여기.
Sandworm (APT44) 공격 분석: 트로이 목마화된 KMS 활성화 도구를 사용하는 지속적 캠페인
EclecticIQ 연구원들은 악명 높은 Sandworm (APT44) 그룹이 러시아의 주요 정보국(GRU)과 연관되어 우크라이나 Windows 사용자를 적극적으로 표적으로 삼고 있는 진행 중인 사이버 스파이 캠페인을 방어자들에게 알립니다. 우크라이나 Windows를 표적으로 삼는 캠페인은 아마도 2023년 말 러시아의 우크라이나 침공 이후 시작되었을 것입니다. 이러한 공격에서 Sandworm은 해적판 Microsoft Key Management Service (KMS) 활성화 도구와 사기성 Windows 업데이트를 악용하여 이전에 그룹과 연관된 로더인 BACKORDER의 업데이트된 버전을 배포합니다. BACKORDER는 이후에 Dark Crystal RAT (DcRAT)을 배포하여 공격자가 민감한 데이터를 훔치고 사이버 스파이 활동을 수행할 수 있게 합니다.
감염 체인은 Windows 라이센스를 우회하려는 사용자를 표적으로 삼아 KMS 활성화 도구로 가장한 Torrent의 ‘KMSAuto++x64_v1.8.4.zip’이라는 트로이 목마화된 ZIP 파일로 시작됩니다. Sandworm은 이전에 우크라이나에 대해 유사한 전술을 Windows 10 설치 프로그램에 트로이 목마화를 사용하여 관찰되었습니다. 그 이후로 분석가들은 유사한 미끼와 TTP를 사용하는 7개의 관련 적대적 캠페인을 확인했습니다.
2025년 초, 최신 캠페인은 DcRAT 원격 액세스 트로이 목마를 배포하기 위해 잘못된 도메인을 사용했습니다. DarkCrystal RAT는 이전에 Sandworm의 도구 모음과 연관되었으며 우크라이나를 표적으로 삼는 다른 해킹 집단에 의해 사용되었습니다. 예를 들어, 2022년 여름에 CERT-UA는 러시아 지원 적대자들에 의한 대규모 피싱 캠페인을 밝혔으며 DarkCrystal RAT을 전달했으며 UAC-0113 그룹(일명 Sandworm)과 약간 연결되었습니다. 2023년, CERT-UA는 DarkCrystal RAT 배포를 겨냥한 또 다른 공격 작전을 공개했습니다.감염은 면허 없는 Microsoft Office 2019 설치에서 비롯되었으며, UAC-0145는 그 캠페인과 연관된 또 다른 그룹 식별자로 알려져 있습니다.
가짜 KMS 도구는 Windows 활성화 인터페이스를 모방하며, 백그라운드에서 실행되는 GO 기반 로더인 BACKORDER는 Windows Defender를 비활성화하고 탐지를 피하기 위해 Living Off the Land Binaries (LOLBINs)를 사용합니다. 최종 RAT 페이로드를 준비하고, C2 서버에 연결하여 민감한 데이터를 외부로 반출합니다. DarkCrystal RAT은 schtasks.exe를 통해 예약된 작업을 생성하고 지속성을 유지하며, 재부팅이나 로그오프 후에도 지속적인 액세스를 보장하기 위해 고급 권한으로 staticfile.exe를 실행합니다.
특히, 2024년 늦가을, 또 다른 트로이 목마화된 KMS 활성화 도구가 우크라이나에서 VirusTotal에 업로드되었으며, 이전 BACKORDER 캠페인과 일치합니다. PyInstaller를 통해 64비트 Python 3.13 앱으로 컴파일되었으며, 러시아어 디버그 경로를 포함하고 있어 러시아 기원임을 시사합니다. 가짜 활성화 도구는 2차 페이로드를 다운로드하고 Python 스크립트를 실행하여 Windows 보안 보호를 비활성화하고, 악성 샘플을 배포하며 지속성을 수립합니다. 중간 수준의 확신으로, 악성 DLL 파일인 Runtime Broker.dll은 고유한 BACKORDER 로더의 새로운 버전으로 간주될 수 있으며, GO로 작성되어 원격 호스트에서 2차 악성 코드를 가져와 실행하도록 설계되었습니다.
조사 중 방어자들은 도메인 피벗 후 새로운 백도어 Kalambur을 발견했습니다. 위협 행위자는 kalambur[.]net을 사용하여 Windows 업데이트로 위장한 RDP 백도어를 배포했습니다. 러시아어로 ‘pun’이라는 단어에서 이름을 따온 Kalambur은 C# 기반의 kalambur2021_v39.exe로 시작하며, 재패키지된 TOR 바이너리 및 추가 도구를 공격자가 조작하는 것으로 보이는 TOR 사이트에서 다운로드합니다.
방어자들은 Sandworm (APT44)이 우크라이나어 사용자 포럼, 웨어즈 사이트, 불법 플랫폼을 통해 트로이 목마화된 해적 소프트웨어를 배포하여 개인 사용자, 비즈니스 및 잠재적으로 국가 기관을 표적으로 삼고 있다고 가정합니다. 2023년 4월 3일, CERT-UA는 적어도 한 차례의 사건을 확인했으며, 이 사건에서 우크라이나 공익 기업 직원이 실수로 해적판 Microsoft Office를 설치하여, DarkCrystal RAT 및 DWAgent 원격 액세스 유틸리티를 유발하며ICS 기기를 손상시켰습니다. 주요 중단은 발생하지 않았지만, 이 사건은 중요한 인프라에서 트로이 목마화된 소프트웨어의 위험성을 강조합니다. Sandworm의 전술은 우크라이나의 중요한 인프라를 불안정하게 만들려는 러시아의 하이브리드 전쟁 전략과 일치합니다. 우크라이나와 그 동맹국이 감염을 적시에 식별할 수 있도록 돕기 위해, SOC Prime 플랫폼은 완전한 제품 제품군을 제공하여 러시아 연계 APT 공격 및 기타 새로운 위협을 앞서가는 동시에 규모에 따른 적극적인 사이버 방어를 보장합니다.
