UAC-0219 공격 탐지: 새로운 사이버 스파이전 캠페인 – PowerShell Stealer WRECKSTEEL 사용

2025년 3월 말, CERT-UA는 우크라이나를 대상으로 한 사이버 첩보 작전이 증가했음을 관찰했으며, 이는 UAC-0200 해킹 그룹에 의해 조직되었습니다 DarkCrystal RAT을 사용하여. 연구자들은 최근 3월 한 달 동안 국가 기관과 중요한 인프라 조직에 대한 적어도 세 건의 다른 사이버 첩보 공격을 밝혀냈으며, 이는 전문화된 악성코드를 사용하여 손상된 시스템에서 민감한 정보를 훔치기 위한 것이었습니다. 이러한 공격은 UAC-0219 해킹 집단에 의해 일어났으며, VBScript와 PowerShell 버전 모두에서 관찰된 WRECKSTEEL 악성코드를 기반으로 합니다.

CERT-UA#14283 경고에 포함된 WRECKSTEEL을 이용한 UAC-0219 공격 탐지

Cyble의 연구에 따르면, 피싱이 2024년 우크라이나의 사이버 위협 환경에서 주요 공격 벡터로 남아있었으며, 공격자는 인간의 실수를 진입점으로 활용하기 위해 악의적인 링크나 첨부파일을 포함한 스피어 피싱 이메일을 사용했습니다.

2025년 4월 초, CERT-UA는 경고를 발령했습니다 CERT-UA#14283 특화된 PowerShell 기반 스틸러인 WRECKSTEEL을 사용한 데이터 절도를 목표로 한 최소한 세 건의 사이버 첩보 사건에 대해 글로벌 사이버 방어 커뮤니티에 경고하면서.

SOC Prime 플랫폼은 공동 사이버 방어를 위해 정부 기관 및 주요 인프라 조직을 포함한 기업들이 CERT-UA#14283 경고에 포함된 UAC-0219 공격에 대해 사전에 방어할 수 있도록 돕는 전용 Sigma 규칙 컬렉션을 큐레이트합니다. 여기서 탐지 실행 버튼을 클릭하여 여러 클라우드 네이티브 및 온프렘 SIEM, EDR, 데이터 호수 솔루션과 호환되는 관련 탐지 알고리즘 세트를 즉시 액세스하고, MITRE ATT&CK®과 정렬되며 포괄적인 위협 정보를 사용해 강화된 탐지 알고리즘 세트를 즉시 액세스하세요.

탐지 실행

대안으로 보안 팀은 직접 해당 “UAC-0219” 또는  “WRECKSTEEL” 태그를 통해 SOC Prime 플랫폼 내의 탐지 코드 라이브러리에서 콘텐츠 검색을 세분화할 수 있습니다.

보안 엔지니어는 또한 Uncoder AI 를 활용하여 IOC 매칭을 단순화하고 회고적 위협 사냥을 강화할 수 있습니다. 이 개인 IDE 및 AI 지원 코파일럿은 관련 CERT-UA 연구에서 IOC를 사용자 지정 사냥 쿼리로 원활하게 변환하여 SIEM 또는 EDR 환경에서 잠재적인 UAC-0219 위협을 식별할 준비가 되어 있습니다.

UAC-0219 공격 분석

CERT-UA는 사이버 사건 데이터를 체계적으로 수집 및 분석하여 최신 위협 정보를 제공합니다. 2025년 3월, 우크라이나의 정부 기관 및 중요한 인프라 부문에 대한 최소한 세 건의 사이버 공격이 UAC-0219 해킹 그룹과 관련된 사이버 위협 환경에서 관찰되었습니다. 상대방은 주로 파일 탈취를 위해 설계된 WRECKSTEEL 악성코드를 사용했으며, 이는 VBScript와 PowerShell 버전 모두에서 이용 가능합니다.

해당 CERT-UA#14283 경고에서 다루어진 이 최신 캠페인은, 이 그룹이 손상된 계정을 활용하여 DropMeFiles 및 Google Drive와 같은 공용 파일 공유 서비스의 링크를 포함하는 피싱 이메일을 배포했습니다. 경우에 따라 이러한 링크는 PDF 첨부파일 내부에 포함되었습니다. 이러한 링크를 클릭하면 .js 확장자를 가진 VBScript 로더가 다운로드 및 실행되었으며, 이는 PowerShell 스크립트를 실행했습니다. 이 스크립트는 특정 확장자(.doc, .txt, .xls, .pdf 등) 파일을 검색하고 탈취하며, cURL을 사용해 스크린샷을 캡처하는 기능을 수행했습니다.

분석에 따르면, 이러한 악의적인 활동은 적어도 2024년 가을부터 지속돼 왔습니다. 이전에는 NSIS 설치 프로그램으로 만든 .EXE 파일이 배포되었으며, 여기에는 PDF, JPG와 같은 미끼 문서, VBScript 기반 스틸러, 스크린샷 촬영을 위한 이미지 뷰어 “IrfanView”가 포함되어 있었습니다. 그러나 2025년부터는 PowerShell 스크립트에 스크린샷 캡처 기능이 통합되었습니다.

MITRE ATT&CK® 컨텍스트

MITRE ATT&CK를 활용하면 우크라이나의 국가 기관 및 주요 인프라 조직을 대상으로 한 최신 UAC-0219 사이버 첩보 작전의 컨텍스트를 깊이 있게 파악할 수 있습니다. 아래 표를 살펴보면 관련 ATT&CK 전술, 기술 및 하위 기술을 해결하는 전용 Sigma 규칙의 전체 목록을 볼 수 있습니다.