APT28(UAC-0001) 공격 탐지: 러시아 연계 그룹이 LLM 기반 LAMEHUG 악성코드로 보안 및 국방 부문 타깃

악명 높은 러시아 정부 지원 위협 그룹인 UAC-0001 (APT28로도 추적됨)이 다시 한 번 사이버 위협 환경에 등장했습니다. CERT-UA가 6월 말에 이 그룹이 COVENANT 프레임워크와 BEARDSHELL 백도어를 사용하는 사실을 공개한 이후, UAC-0001은 우크라이나에 대한 공격에 집중해왔습니다. CERT-UA는 이번에 LLM이 포함된 LAMEHUG 도구를 활용하는 보안 및 방위 부문을 겨냥한 새로운 사이버 공격 파동을 보고했습니다.

LLM 기반 LAMEHUG 악성코드를 통한 UAC-0001 (APT28) 공격 탐지

러시아 연계 해킹 그룹은 사이버 방어자들에게 지속적인 위협으로 남아 있으며, 은폐 능력을 강화하고 탐지를 회피하기 위해 전술, 기술, 절차(TTP)를 끊임없이 진화시키고 있습니다. 우크라이나에 대한 전면적 침공이 시작된 이래로, 공격자는 APT 공격을 강화하며, 분쟁을 신흥 공격 전략의 시험 무대로 활용하고 있습니다. 

SOC Prime 플랫폼에 등록하여 악명 높은 러시아 연계 해킹 집단인 UAC-0001 (APT28) 관련 공격 증가에 대비하십시오. SOC Prime 팀은 최신 CERT-UA 경고에 포함된 AI LLM을 활용한 데이터 탈취 공격에 대응하는 일련의 시그마 규칙을 엄선하여 제공합니다. 탐지 탐색 버튼을 눌러 MITRE ATT&CK®에 맞춰 정렬된 실행 가능한 위협 인텔리전스(CTI)가 풍부한 탐지 스택을 확인할 수 있습니다. 검색의 편의를 위해 이 시그마 규칙 모음은 관련 CERT-UA 경고 식별자에 기반해 “CERT-UA#16039” 태그가 부여되어 있습니다. 

탐지 탐색하기

러시아 연계 그룹의 공격을 탐지하기 위한 추가 시그마 규칙은 Threat Detection Marketplace 라이브러리에서 “UAC-0001” 및 “APT28” 태그로 검색할 수 있습니다. Microsoft Defender for Endpoint(MDE) 고객은 또한 Bear Fence를 활성화하여 러시아 지원 APT 위협으로부터 조직을 보호하는 완전 통합형, 즉시 사용 가능한 상시 서비스로 활용할 수 있습니다. 242개의 엄선된 행동 규칙, 100만 개 이상의 IOC, AI 기반 동적 TTP 피드를 사용해 APT28 및 48개의 러시아 국가 연계 위협 행위자를 자동으로 탐지합니다. 

보안 엔지니어는 Uncoder AI를 활용해 30초 이내에 Roota 및 Sigma 규칙을 생성하고, 코드를 문서화 및 최적화하며, 56개 탐지 언어 전문 지식을 습득하고, AIML 기반 공격 흐름 및 ATT&CK 매핑을 만들 수 있습니다. 최신 CERT-UA#16039 경고에서 얻은 위협 인텔을 바탕으로 관련 IOC를 자동 변환해 선택한 SIEM 또는 EDR 형식으로 즉시 사냥할 수 있는 맞춤 쿼리를 생성할 수 있습니다. 

UAC-0001 (APT28) 최신 활동 개요

2025년 7월 10일, CERT-UA는 관련 부처 공무원을 사칭하는 피싱 이메일이 집행기관 내에 유포된 사실을 확인했습니다. 해당 이메일에는 “Додаток.pdf.zip”라는 이름의 첨부파일이 정상 문서로 위장되어 포함되어 있었습니다. CERT-UA는 중간 정도의 신뢰도로 이 활동을 UAC-0001 (APT28)의 소행으로 평가하고 있습니다.

APT28, 즉 UAC-0001는 Fighting Ursa, Fancy Bear, Forest Blizzard, 또는 STRONTIUM으로도 알려져 있으며, 우크라이나 공공 부문에 지속적인 초점을 맞추고 있습니다. 주로 피싱 캠페인과 소프트웨어 취약점 공격을 주요 수단으로 활용합니다.

최근 캠페인에서 공격자가 사용한 ZIP 아카이브에는 아카이브와 동일한 이름의 “.pif” 확장자를 가진 실행 파일이 포함되어 있었습니다. 해당 파일은 Python 소스 코드를 PyInstaller로 빌드한 것으로, 연구자들은 이를 LAMEHUG라는 악성 소프트웨어 도구로 분류했습니다.

사건 조사 과정에서 이 악성코드의 추가 변종 두 가지, “AI_generator_uncensored_Canvas_PRO_v0.9.exe” 및 “image.py“가 발견되었으며, 각각 감염된 시스템에서 데이터를 탈취하는 방식이 다릅니다. 피싱 이메일은 탈취된 이메일 계정을 이용해 유포되었으며, C2 인프라는 정상적이지만 탈취된 자원을 사용해 배포되었습니다.

LAMEHUG의 특징 중 하나는 LLM을 활용한다는 점입니다. LLM은 텍스트 설명을 기반으로 실행 가능한 명령어를 생성합니다. LAMEHUG는 Python 기반 악성코드로, huggingface[.]co API를 통해 LLM Qwen 2.5-Coder-32B-Instruct를 사용하여 사전 정의된 텍스트 설명으로부터 시스템 명령을 생성합니다. 하드웨어, 프로세스, 서비스, 네트워크 연결 등 시스템 정보를 수집하며, 수집한 데이터를 %PROGRAMDATA%\info\info.txt에 저장합니다. 문서, 다운로드, 바탕화면 디렉터리에서 Microsoft Office, TXT, PDF 파일을 재귀적으로 탐색해 %PROGRAMDATA%\info\로 복사합니다. 탈취한 데이터는 악성코드 버전에 따라 SFTP 또는 HTTP POST 요청으로 전송됩니다.

APT28이 우크라이나의 보안 및 방위 부문에 대한 공격을 강화하고 고도화된 LLM 기반 악성코드를 시험하는 상황에서, 선제적 사이버 방어는 매우 중요해졌습니다. SOC Prime은 AI, 자동화 및 실시간 위협 인텔리전스를 기반으로 조직의 사이버 보안 역량을 강화하고 사이버 위협에 대응할 수 있는 종합 제품군을 보안팀에 제공합니다. 

MITRE ATT&CK 맥락

MITRE ATT&CK를 사용하면 LAMEHUG 악성코드를 이용해 보안 및 방위 부문을 겨냥한 최신 UAC-0001 (APT28) 캠페인에 대한 상세한 통찰을 제공합니다. 아래 표는 관련된 모든 시그마 규칙과 해당 ATT&CK 전술, 기법 및 하위 기법을 정리한 것입니다.