UAC-0173 활동 탐지: 해커들이 DARKCRYSTALRAT 멀웨어를 이용해 우크라이나 공증인들을 대상으로 피싱 공격을 시작하다

[post-views]
2월 26, 2025 · 3 분 읽기
UAC-0173 활동 탐지: 해커들이 DARKCRYSTALRAT 멀웨어를 이용해 우크라이나 공증인들을 대상으로 피싱 공격을 시작하다

조사에 이어 UAC-0212의 증가하는 활동 우크라이나의 주요 인프라 부문에 대한 다수의 조직에 대항하여, CERT-UA는 알립니다 세계 사이버 방어 커뮤니티에게 우크라이나 사이버 위협 전장에서 또 다른 해킹 그룹의 재등장을. 조직화된 범죄 그룹으로 추적된 UAC-0173 은/는 우크라이나 법무부의 대표자로 가장하여 공증인들을 대상으로 일련의 피싱 공격을 수행했습니다. 

CERT-UA#13738 경보에 포함된 UAC-0173 공격 탐지

피싱 공격은 여전히 현대 사이버 위협 환경에서 보안 이벤트의 80% 이상을 차지합니다. 또한 많은 산업 수직 시장에서 우크라이나 조직을 대상으로 하는 악의적인 활동이 급격히 증가하고 있으며, 피싱 공격 벡터를 활용하여 초기 접근을 시도하고 있습니다.

집단 사이버 방어를 위한 SOC Prime 플랫폼은 조직이 최근 CERT-UA#13738 경보에 포함된 우크라이나 공증인에 대한 UAC-0173 공격을 사전에 방어할 수 있도록 큐레이팅된 Sigma 규칙을 제공합니다. 클릭 탐지 보기 를 통해 수십 개의 SIEM, EDR 및 데이터 레이크 솔루션과 호환되며, MITRE ATT&CK®에 매핑되고 심층 위협 정보로 강화된 관련 Sigma 규칙을 찾을 수 있습니다. 

탐지 보기

조직은 또한 위협 행위자의 공격 작전에 관련된 더 많은 탐지 콘텐츠를 SOC Prime 플랫폼에서 검색할 수 있도록 그룹 식별자에 기반한 “UAC-0173” 태그를 적용할 수 있습니다. 

SOC Prime 플랫폼 사용자는 또한 Uncoder AI 를 사용하여 IOC 매칭 속도를 가속하고 방어자가 레트로스펙티브 헌트를 수행할 수 있도록 도와줍니다. 개인 IDE 및 AI 공동 비행사는 관련 CERT-UA 보고서에서 UAC-0173 활동과 관련된 IOC를 맞춤형 쿼리로 변환하여 SIEM 또는 EDR 환경에서 잠재적 위협을 검색할 준비를 마칩니다. 

Ucoder AI를 사용하여 CERT-UA#13738 경고에 포함된 UAC-0173 활동과 관련된 IOC를 탐색하십시오.

UAC-0173 공격 분석

2025년 2월 25일, CERT-UA는 새로운 CERT-UA#13738 경보를 발표하며, 재정 동기를 가진 UAC-0173 해킹 집단의 증가하는 활동에 초점을 맞추었습니다. 이 그룹은 공증인의 컴퓨터를 대상으로 은밀한 원격 접속을 확보하고 나중에 국가 등록부에 대한 무단 변경을 가하여 재정적 이익을 목표로 사이버 공격을 수행하고 있습니다.

특히, 2023년 여름에, 상대방은 유사한 대상과 공격 기법을 선택하여 우크라이나의 사법 기관과 공증인에 대량 이메일 배포를 통해 공식 문서로 가장한 악성 첨부 파일을 포함시켰습니다.

2025년 2월 11일, 또 다른 피싱 이메일 라운드가 발송되었으며, 발신자를 우크라이나 법무부의 지방 지부로 가장했습니다. 이 이메일에는 컴퓨터를 DARKCRYSTALRAT (DCRAT) 악성 소프트웨어로 감염시키려는 실행 파일을 다운로드하는 링크가 포함되어 있었습니다. 

공증인의 작업자에 대한 초기 접근을 확보한 후, 공격자는 추가 도구를 설치하며, 여기에는 병렬 RDP 세션을 가능하게 하는 RDPWRAPPER가 포함됩니다. BORE 유틸리티와 함께 사용하면, 이 설정은 인터넷에서 손상된 컴퓨터로 직접 RDP 연결을 설정할 수 있습니다.

이 그룹은 또한 사용자 계정 제어를 우회하기 위해 탐지 회피 유틸리티를 활용하고 있으며, NMAP 네트워크 스캐너, 인증 데이터를 캡처하기 위한 FIDDLER 프록시/스니퍼 및 자격 증명 도난을 위한 XWORM 키로거와 같은 도구를 사용했습니다. 일부 경우, 노출된 컴퓨터는 나중에 SENDEMAIL 콘솔 유틸리티를 통해 악성 이메일을 생성 및 전송하는 데 사용되었습니다. 

증가하는 위협에 대응하여, CERT-UA는 파트너들과 함께 신속하게 사이버 보안 조치를 구현하여 6개 지역에서 감염된 컴퓨터를 신속히 식별하고 공격자의 의도를 무단 공증 행위의 최종 단계에서도 성공적으로 저지했습니다. 활용하여 SOC Prime 플랫폼을 공동 사이버 방어를 위한, 조직은 정교한 해킹 그룹과 관련된 신흥 위협에 앞서면서 공격 표면을 크게 줄일 수 있습니다.  

MITRE ATT&CK 컨텍스트

MITRE ATT&CK를 활용하면 DARKCRYSTAL 악성 소프트웨어를 사용하여 우크라이나 공증인을 대상으로 하는 최신 UAC-0173 작전의 컨텍스트에 대한 세세한 가시성을 제공합니다. 아래 표를 참조하여 해당 ATT&CK 전술, 기술 및 부기술을 다루는 전용 Sigma 규칙의 전체 목록을 확인하십시오. 

Tactics 

Techniques

Sigma Rule

Execution

Command and Scripting Interpreter: PowerShell (T1059.001)

Command and Scripting Interpreter: Windows Command Shell (T1059.003)

Command and Scripting Interpreter: Python (T1059.006)

Persistence

Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (T1547.001)

Defense Evasion

Masquerading (T1036)

Masquerading: Match Legitimate Name or Location (T1036.005)

Process Injection: Process Hollowing  (T1055.012)

Impair Defenses: Disable or Modify Tools (T1562.001)

Hide Artifacts (T1564)

Hide Artifacts: Hidden Window (T1564.003)

System Binary Proxy Execution (T1218)

System Binary Proxy Execution: Mshta (T1218.005)

Discovery

Network Service Discovery (T1046)

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.

관련 게시물