UAC-0226 공격 탐지: 우크라이나의 혁신 허브 및 정부 기관을 겨냥한 GIFTEDCROOK 스틸러 사이버 스파이 캠페인

[post-views]
4월 07, 2025 · 3 분 읽기
UAC-0226 공격 탐지: 우크라이나의 혁신 허브 및 정부 기관을 겨냥한 GIFTEDCROOK 스틸러 사이버 스파이 캠페인

2025년 3월 내내, 수비수들은 UAC-0219 해킹 그룹에 의해 증가하는 사이버 스파이 활동을 관찰했습니다. 이는 우크라이나의 중요 부문을 대상으로 WRECKSTEEL 악성코드를 사용했습니다. 4월에는 CERT-UA가 새로운 스파이 작전에 대한 전 세계 사이버 수비 커뮤니티에 새로운 경고를 발령하며, UAC-0226으로 추적된 또 다른 해킹 집단에 의해 조율된 활동을 알렸습니다. 2025년 2월 이후로 연구자들은 군사 혁신 허브, 군대, 법 집행 기관 및 지방 정부 기관을 대상으로 하는 정보 수집 활동을 면밀히 주시하며 GIFTEDCROOK이라는 또 다른 정보를 통해 우크라이나를 대상으로 한 스틸러를 사용하고 있습니다.

CERT-UA#14303 알림에 포함된 UAC-0226 공격 탐지

CERT-EU의 연례 위협 풍경 보고서에 따르면, 2024년에 보고된 사건의 44%가 사이버 스파이 활동이나 보통 국가 후원자가 데이터 탈취와 지속적이며 은밀한 접근을 위한 위치 선정 전술에 관련된 것으로 나타났습니다. 2025년 봄, CERT-UA는 우크라이나를 대상으로 한 사이버 스파이 활동의 증가를 이미 관찰하였으며, 이는 UAC-0200, UAC-0219과 UAC-0226에 기인한 것입니다. 최신 CERT-UA#14303 경고는 GIFTEDCROOK 스틸러를 활용하는 UAC-0226의 계속되는 사이버 스파이 캠페인을 강조합니다. 

SOC Prime Platform 를 위한 집단 사이버 방어는 우크라이나와 연합된 조직이 UAC-0226에 의해 커버된 사이버 스파이 공격을 선제적으로 방어하기 위한 전용 탐지 알고리즘 컬렉션을 관리합니다. 클릭하여 탐지 결과 탐색 MITRE ATT&CK®과 정렬되고, 다중 SIEM, EDR 및 데이터 레이크 솔루션과 호환되는 실행 가능한 지능으로 보강된 관련 Sigma 규칙에 액세스하세요. 

탐지 결과 탐색

보안 팀은 또한 “CERT-UA#14303” 및 “UAC-0226” 태그를 사용하여 적의 활동을 신속하게 식별할 수 있도록, SOC Prime의 Detection-as-Code 라이브러리에서 관련 콘텐츠를 검색할 수 있습니다. 
또한 보안 엔지니어는 Uncoder AI(비에이전시형 AI)에서 제공받는 위협 정보 탐지를 위한 AI에 의존하여 CERT-UA 연구의 IOC를 실행 가능한 사냥 쿼리로 자동 변환하고 SIEM 또는 EDR 인스턴스에서 UAC-0226 공격을 원활하게 검색할 수 있습니다. 

CERT-UA#14303 알림으로부터 IOC를 맞춤형 쿼리로 변환하여 SIEM 또는 EDR에서 사냥을 준비하세요.

UAC-0226 공격 분석

2025년 4월 6일, CERT-UA는 새로운 보안 경고를 발표했으며, CERT-UA#14303, C/C++ 기반의 스틸러 GIFTEDCROOK을 활용하여 우크라이나에 대한 사이버 스파이 작전과 관련하여 UAC-0226 그룹과 연결된 사이버 스파이 캠페인을 연구자들이 2025년 2월 이후로 관찰하고 있으며, 주로 군사 혁신 허브, 군부대, 법 집행 기관, 특히 국가의 동부 국경 근처에 위치한 지방 정부 기관을 주 대상으로 삼고 있습니다. 

감염 결함은 매크로가 활성화된 Excel 파일(.xlsm)을 포함하는 피싱 공격 벡터를 통해 시작되며, 주로 지뢰 제거, 행정 벌금, 드론 생산, 손상된 재산 보상과 같은 유혹 주제를 사용합니다. 이러한 문서는 엑셀 셀 내에 base64로 인코딩된 페이로드를 숨깁니다. 내장된 매크로는 콘텐츠를 실행 파일로 변환하여 파일 확장자가 없이 저장하고 피해자의 컴퓨터에서 실행합니다.

2025년 4월 현재 이 활동과 관련된 두 가지 악성코드 변종이 확인되었습니다. 첫 번째는 공개 GitHub 저장소인 PSSW100AVB에서 소스된 PowerShell 역방향 셸 스크립트를 포함하는 .NET 기반 도구입니다. 두 번째는 GIFTEDCROOK이라고 불리며, C/C++ 스틸러로 Chrome, Edge, Firefox 브라우저 데이터(쿠키, 기록, 저장된 자격 증명)를 추출하고 PowerShell의 Compress-Archive cmdlet을 사용하여 압축한 후 Telegram을 통해 탈출을 시도합니다. 피싱 이메일은 주로 웹메일을 통해 손상된 계정에서 전송되기 때문에 수비수들은 시스템 관리자가 이메일 및 웹 서버 로그의 완전성과 깊이를 검토할 것을 권고합니다.

MITRE ATT&CK 문맥

MITRE ATT&CK을 활용하면 우크라이나 혁신 허브 및 정부 기관을 대상으로 GIFTEDCROOK 스틸러로 UAC-0226 사이버 스파이 작전의 최신 상황을 깊이 있게 파악할 수 있습니다. 아래 표에서 대응하는 ATT&CK 전술, 기술 및 하위 기술을 다루는 전용 Sigma 규칙의 전체 목록을 탐색하세요. 

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.
무료 가입하기 미팅 예약하기

관련 게시물

UAC-0219 공격 탐지: 새로운 사이버 스파이전 캠페인 – PowerShell Stealer WRECKSTEEL 사용
블로그, 최신 위협 — 3 분 읽기
UAC-0219 공격 탐지: 새로운 사이버 스파이전 캠페인 – PowerShell Stealer WRECKSTEEL 사용
Veronika Telychko
UAC-0200 공격 탐지: 다크크리스탈 RAT을 사용한 우크라이나군 및 방위 산업 분야를 노리는 사이버 스파이 활동
블로그, 최신 위협 — 3 분 읽기
UAC-0200 공격 탐지: 다크크리스탈 RAT을 사용한 우크라이나군 및 방위 산업 분야를 노리는 사이버 스파이 활동
Veronika Telychko
UAC-0173 활동 탐지: 해커들이 DARKCRYSTALRAT 멀웨어를 이용해 우크라이나 공증인들을 대상으로 피싱 공격을 시작하다
블로그, 최신 위협 — 3 분 읽기
UAC-0173 활동 탐지: 해커들이 DARKCRYSTALRAT 멀웨어를 이용해 우크라이나 공증인들을 대상으로 피싱 공격을 시작하다
Veronika Telychko