UAC-0200 공격 탐지: 다크크리스탈 RAT을 사용한 우크라이나군 및 방위 산업 분야를 노리는 사이버 스파이 활동

[post-views]
3월 19, 2025 · 3 분 읽기
UAC-0200 공격 탐지: 다크크리스탈 RAT을 사용한 우크라이나군 및 방위 산업 분야를 노리는 사이버 스파이 활동

The UAC-0200 해킹 그룹이 사이버 위협 전장에서 다시 떠오르고 있습니다. CERT-UA는 최근 국방 산업 기업 직원들과 우크라이나 군대의 개별 구성원을 대상으로 한 표적 사이버 공격의 급증을 식별했습니다. DarkCrystal RAT (DCRAT). 

CERT-UA#14045 경고에 포함된 UAC-0200 공격 탐지

최신 UAC-0173 공격에 활용된 DARKCRYSTAL RAT 우크라이나 공증인을 대상으로 한 범죄자는 이 악성 소프트웨어를 이번에는 우크라이나 군대를 목표로 사용합니다. UAC-0200 식별자로 추적되고 있습니다.

SOC Prime 플랫폼에 등록하십시오 그리고 사이버 방어자가 CERT-UA#14045 경고에 포함된 UAC-0200 공격을 사전에 방어하는 데 도움을 주는 심마 규칙 모음을 이용하십시오. CERT-UA#14045 경고. 클릭 탐지 방법 탐색 하여 MITRE ATT&CK®에 매핑되고 심층적인 위협 정보를 포함한 수많은 SIEM, EDR, 데이터 레이크 솔루션에 호환되는 탐지 알고리즘 컬렉션을 즉시 탐색하십시오. 

탐지 방법 탐색

보안 전문가는 또한 “UAC-0200” 및 “CERT-UA#14045” 태그를 SOC Prime 플랫폼에서 보다 정교한 필터링으로 검색하여 위협 행위자의 공격 작전과 관련된 추가 탐지 콘텐츠를 찾을 수 있습니다. 

SOC Prime 플랫폼 사용자는 또한 Uncoder AI 를 사용할 수 있으며, IOC 매칭을 가속화하고 수비수들이 회고적 탐색을 수행하는 데 도움을 줍니다. 감지 엔지니어링을 위한 개인 IDE와 AI 코파일럿은 관련 CERT-UA 보고서에서 UAC-0200 활동과 관련된 IOC를 맞춤형 쿼리로 변환하여 SIEM 또는 EDR 환경에서 잠재적 위협을 탐색할 수 있게 합니다. 

CERT-UA#14045 경고의 위협 정보를 사용자 정의 IOC 쿼리로 변환하여 최신 UAC-0200 활동과 관련된 위협을 탐색하십시오.

DarkCrystal RAT을 활용한 UAC-0200 활동 분석

2025년 3월 18일, CERT-UA는 새로운 경고를 발표했습니다. CERT-UA#14045, 방어자에게 국방 산업 부문 조직과 우크라이나 군대의 개별 구성원을 대상으로 한 증가하는 사이버 간첩 활동을 경고했습니다. 

2025년 초봄, 메시지와 아카이브가 회의 보고서를 포함한다고 주장하며 Signal 메신저를 통해 배포되고 있는 것이 발견되었습니다. 일부 경우에는 수신자의 목록에 이미 있는 연락처의 타협된 계정에서 메시지가 전송되어 피해자들이 이를 열어보게 유도했습니다. 후자는 일반적으로 PDF 파일과 DarkTortilla로 분류된 실행 파일이 포함되어 있으며, 이는 실행하고 시작하기 위한 암호 해독기 및 주입기를 포함하고 있습니다. Dark Crystal RAT (DCRAT) 원격 제어 도구입니다.

UAC-0200 해킹 집단은 최소한 2024년 여름부터 우크라이나를 대상으로 한 표적 사이버 공격과 연계되어 있습니다. 특히 2024년 6월 초에, 적들은 정부 조직, 군대 및 방위 기관을 유사한 공격 도구를 사용하여 또 다른 캠페인에서 타격을 입혔습니다. 그들은 또한 Signal 메신저를 활용하여 DarkCrystal RAT 멀웨어를 전파했습니다. 2025년 2월 이후부터 이러한 유인 메시지의 내용은 무인 항공기(UAV), 전자전 시스템 및 다양한 방위 및 군사 관련 주제에 초점을 맞추고 있습니다.

모바일 장치와 컴퓨터 모두에서 인기 있는 메신저의 사용은 특히 보안 조치를 우회하는 비제어된 통신 채널을 생성하므로 공격 표면을 크게 확장하며, 이는 방어자의 초고속 대응 능력을 요구합니다. SOC Prime 플랫폼 을 집단 사이버 방어에 활용하여 다양한 탐지 회피 기술에 의존하여 복잡한 공격을 사전 방어할 수 있습니다. 

MITRE ATT&CK® 컨텍스트

MITRE ATT&CK를 활용하면 DarkCrystal RAT를 사용하여 방위 산업 부문 및 우크라이나 군대를 대상으로 하는 최신 UAC-0200 사이버 간첩 작전의 컨텍스트에 대한 심층 가시성을 제공합니다. 아래 표를 확인하여 해당 ATT&CK 전술, 기술 및 하위 기술을 다루는 전용 Sigma 규칙의 전체 목록을 보십시오. 

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.
무료 가입하기 미팅 예약하기

관련 게시물

UAC-0226 공격 탐지: 우크라이나의 혁신 허브 및 정부 기관을 겨냥한 GIFTEDCROOK 스틸러 사이버 스파이 캠페인
블로그, 최신 위협 — 3 분 읽기
UAC-0226 공격 탐지: 우크라이나의 혁신 허브 및 정부 기관을 겨냥한 GIFTEDCROOK 스틸러 사이버 스파이 캠페인
Veronika Telychko
UAC-0219 공격 탐지: 새로운 사이버 스파이전 캠페인 – PowerShell Stealer WRECKSTEEL 사용
블로그, 최신 위협 — 3 분 읽기
UAC-0219 공격 탐지: 새로운 사이버 스파이전 캠페인 – PowerShell Stealer WRECKSTEEL 사용
Veronika Telychko
UAC-0173 활동 탐지: 해커들이 DARKCRYSTALRAT 멀웨어를 이용해 우크라이나 공증인들을 대상으로 피싱 공격을 시작하다
블로그, 최신 위협 — 3 분 읽기
UAC-0173 활동 탐지: 해커들이 DARKCRYSTALRAT 멀웨어를 이용해 우크라이나 공증인들을 대상으로 피싱 공격을 시작하다
Veronika Telychko