SmokeLoader 캠페인 탐지: UAC-0006는 우크라이나 금융 기관을 대상으로 하는 피싱 공격을 계속 진행 중

UAC-0006 해킹 집단 이 우크라이나 조직을 적극적으로 타깃으로 삼고 있으며 SmokeLoader 악성코드 를 이용하여 금융 이익을 위한 장기 캠페인을 수행하고 있습니다. 최신 CERT-UA 사이버 보안 경보 에 따르면, 해킹 그룹이 연속적으로 세 번째 대규모 사이버 공격을 시작하여 전 국에 걸쳐 은행 시스템을 심각하게 위협하고 있습니다.

SmokeLoader 유포를 목표로 한 UAC-0006 피싱 캠페인 분석

2023년 7월 중순에 발생한 UAC-0006 공격 작전 이후, 적들은 최근 10일 동안 세 번째 연속 공격을 통해 우크라이나 금융 부문을 지속적으로 타격하며, 피싱 벡터를 활용하여 SmokeLoader 악성코드를 전달하고 있습니다.

CERT-UA의 상세한 분석에 따르면, 최신 공격에서는 ZIP 폴리글롯 파일이 사용되며, 압축 해제 프로그램에 따라 내용물이 달라집니다. WinRAR을 사용할 경우, ZIP 폴리글롯에는 .pdf or .docx 확장자가 포함되어 있어 JavaScript 다운로더, SFX 아카이브, BAT 스크립트, 그리고 미끼 파일로 이어지는 시퀀스를 초래하며, 주로 Privat Bank, 우크라이나의 최대 은행 중 하나와 관련된 결제 지침으로 피해자를 유인합니다.

현재 1000개 이상의 기기가 봇넷에 감염된 상황에서, CERT-UA는 적들이 이전 공격에서 얻은 인증 데이터를 활용하여 대규모 피싱 이메일 캠페인을 실행하고 있다고 높은 확신을 밝히고 있습니다.

UAC-0006의 악의적인 활동이 심화됨에 따라, CERT-UA는 원격 은행 시스템을 대상으로 한 사이버 사기의 현저한 증가를 예상합니다. 이러한 위협을 방지하기 위해 방어자들은 wscript.exe, cscript.exe, powershell.exe 및 mshta.exe와 같은 유틸리티의 사용을 제한하고 아웃고잉 정보 흐름 필터링을 구현하는 것을 강력히 권장합니다.

CERT-UA#7065, CERT-UA#7076 경고에 명시된 UAC-0006 분석을 통한 SmokeLoader 캠페인 탐지

SmokeLoader 감염을 목표로 한 악의적 활동을 차단하기 위해, SOC Prime Platform for collective cyber defense는 UAC-0006 공격 탐지를 위한 큐레이션된 Sigma 규칙 세트를 제공합니다.

아래의 탐지 탐색 버튼을 누르면, 보안 전문가들이 UAC-0006 집단이 활용하는 관련 TTP를 적시에 식별할 수 있는 전용 Sigma 규칙의 광범위한 배치를 얻을 수 있습니다. SOC 콘텐츠 검색을 간소화하려면, “UAC-0006”, “CERT-UA#7065”, “CERT-UA#7066,” 또는 “SmokeLoader”와 같은 관련 태그를 적용하여 사이버 위협 컨텍스트와 결합된 탐지 알고리즘을 SIEM, EDR, XDR 형식으로 자동 변환할 수 있습니다.

탐지 탐색

보안 엔지니어들은 또한 Uncoder AI 를 활용하여 추천된 CERT-UA#6613, CERT-UA#6757, CERT-UA#6999 경고에 나열된 IOC를 쉽게 사냥하기 위해 맞춤형 IOC 쿼리를 생성하고 선택한 환경에서 실시간으로 실행할 수 있습니다.

MITRE ATT&CK 컨텍스트

사이버 방어자들은 또한 아래 표를 탐색하여 UAC-0006에 의한 최신 피싱 공격의 컨텍스트를 더 자세히 이해할 수 있으며, 이 표에는 ATT&CK에 따른 관련 적의 전술 및 기술 목록이 제공됩니다: