SmokeLoader 악성코드를 탐지하라: 피싱 공격으로 우크라이나를 다시 노리는 UAC-0006

대규모 UAC-0006에 의해 시작된 피싱 공격의 뒤를 이어 2023년 5월 초, CERT-UA는 사이버 수비수들에게 SmokeLoader 감염의 결과를 초래하는 새로운 사이버 공격의 물결을 경고합니다. 최신 조사는 공격자들이 금융 관련 유인물을 가진 피싱 이메일을 점점 더 많이 유포하고 있으며, ZIP/RAR 첨부 파일을 사용하여 타겟 인스턴스에 악성 샘플을 배포하고 있음을 보여줍니다.

SmokeLoader 배포를 목표로 한 UAC-0006 피싱 공격 분석

2023년 5월 29일, CERT-UA 전문가들은 새로운 CERT-UA#6757 경보 를 발표하여 UAC-0006 해킹 집단이 시작한 진행 중인 피싱 캠페인을 상세히 설명합니다. 악성 HTML 또는 VHDX 파일을 포함하는 ZIP 또는 RAR 아카이브를 사용하여 공격자들은 JavaScript 다운로드기를 활용하여 타겟 시스템에 SmokeLoader를 전달합니다. 아카이브가 추출되면 JavaScript 코드가 실행되어 실행 파일을 다운로드하고 시작하여 후속 단계로 SmokeLoader를 배포합니다.

CERT-UA 팀은 2023년 5월 초에 시작된 유사한 피싱 캠페인에 비해 UAC-0006 공격 킬체인에 대한 몇 가지 주요 업데이트를 식별합니다. 특히 전문가들은 공격자들이 여러 감염 체인을 사용하는 경향이 있음을 관찰합니다. 또한, 최신 캠페인에서 사용된 SmokeLoader 샘플에는 봇넷을 제어하는 서버로의 26개의 URL 링크가 포함되어 있습니다. 또한 CERT-UA는 침투 중에 사용된 악성 코발트 스트라이크 비컨 을 식별하였으며, 이는 UAC-0006이 도구 세트를 확장하려는 의도를 나타냅니다.

최신 UAC-0006 적대적 활동 탐지

SmokeLoader를 유포하는 대규모 피싱 공격 몇 주 후, 이전 침투에 책임이 있는 UAC-0006 위협 행위자가 다시 공격을 시작했습니다. 적대적 TTP의 변화와 최신 공세 작전에서 여러 감염 체인의 사용으로 인해 조직은 더욱 심각한 위험에 노출될 수 있으며, 사이버 수비수의 긴급한 주의가 필요합니다. SOC Prime은 최근 최신 CERT-UA#6757 경보에 포함된 UAC-0006 그룹의 악성 활동을 적시에 탐지하기 위해 관련 Sigma 규칙 세트를 출시했습니다. 최신 CERT-UA#6757 경보에 따라 모든 탐지 콘텐츠는 “CERT-UA#6757” 또는 “UAC-0006”라는 사용자 지정 태그로 필터링되며, 연구원들이 콘텐츠 검색 및 위협 사냥 활동을 간소화할 수 있게 해줍니다.

버튼을 눌러 탐지 탐색 을 즉시 액세스하여 UAC-0006 공격 탐지를 위한 Sigma 규칙 컬렉션을 전체적으로 확인할 수 있습니다. MITRE ATT&CK® 로 매핑되어 있으며 산업 주도 SIEM, EDR, XDR 솔루션으로 자동 변환할 수 있습니다. 관련 메타데이터, ATT&CK 링크 및 CTI 참조를 탐색하고자 할 경우 다른 사이버 위협 컨텍스트와 함께 즉시 사용할 수 있습니다.

탐지 탐색

SOC 팀 멤버는 또한 Uncoder AI를 활용하여 UAC-0006 악성 활동과 관련된 IOC를 추적할 수도 있습니다. 이는 위협 사냥꾼과 탐지 엔지니어를 위한 궁극적인 도구로, 한계 없이 IOC를 사용자 지정 IOC 쿼리로 변환할 수 있게 해줍니다. 제공된 파일, 호스트 또는 네트워크 IOC를 CERT-UA#6757 경보에서 도구에 삽입하고, 선택한 플랫폼을 선택하여 보안 요구에 맞게 쿼리 설정을 적용한 후, SIEM 또는 EDR 환경에서 관련 위협을 즉시 추적할 준비를 하십시오.

MITRE ATT&CK 컨텍스트

UAC-0006 해킹 그룹이 SmokeLoader를 유포하며 가장 최근에 수행한 공격에서 활용된 TTP를 탐구하기 위해, 앞서 언급된 모든 Sigma 규칙은 ATT&CK에 매핑되어 있으며, 해당 전술과 기술을 주소로 삼고 있습니다.