FateGrab/StealDeal 탐지: DELTA 사용자 겨냥한 우크라이나 정부 기관에 대한 UAC-0142 그룹의 피싱 공격 

2022년 내내 우크라이나 국가 기관을 대상으로 다양한 악성코드를 배포하는 피싱 공격은 드물지 않았습니다. 우크라이나를 겨냥한 피싱 사이버 공격 바로 뒤에 DolphinCape 악성코드를 배포하는 또 다른 피싱 캠페인이 사이버 위협 영역에서 큰 관심을 끌고 있습니다.

2022년 12월 18일, CERT-UA 연구원들은 CERT-UA#5709로 추적되는 최신 경고를 발행하면서 우크라이나 국가 기관을 대상으로 하는 피싱 공격에 대해 사이버 수비수들에게 경고했습니다. 특히 DELTA 시스템 사용자를 겨냥한 이번 진행 중인 캠페인에서, 감염된 사용자들은 전장에서 실시간 상황 인식을 제공하는 클라우드 솔루션인 DELTA 시스템에서 인증서를 업데이트하라는 알림을 받았으며, 합법적인 다이제스트 콘텐츠로 위장된 PDF 미끼 첨부 파일을 열면 감염 체인이 시작되고, 이러한 감염은 영향을 받은 시스템에 FateGrab/StealDeal 악성 소프트웨어를 확산시킵니다. 

FateGrab/StealDeal 악성코드 배포: CERT-UA#5709에서 다룬 피싱 캠페인 분석

최신 CERT-UA#5709 경고 에서는 국가 기반의 군사 시스템 DELTA의 우크라이나 사용자를 겨냥한 진행 중인 피싱 공격의 세부 사항을 다룹니다. 2022년 11월 18일, 우크라이나 국방부 산하 국방 기술 혁신 및 개발 센터로부터 DELTA 인증서 업데이트 알림을 가장한 피싱 미끼를 이용한 악의적 캠페인이 있다는 통보를 받았습니다. 

DELTA (또는 Delta)은 NATO 표준으로 개발된 전장 상황 인식 국가 클라우드 기반 플랫폼으로서, 실시간 전장 공간에 대한 총체적 이해를 제공하고 다양한 센서와 소스로부터의 정보를 디지털 지도로 통합합니다.
진행 중인 적대적 캠페인에서 UAC-0142로 추적되는 위협 행위자들은 이메일과 메신저를 통해 PDF 첨부 파일을 유포하여 감염 체인을 유발하고 DELTA 사용자 컴퓨터에 FateGrab/StealDeal 악성코드를 배포할 수 있습니다. 이러한 PDF 첨부 파일은 정당한 다이제스트로 위장하여 피해자를 악성 ZIP 아카이브로 연결시키며, 이 링크를 여는 것은 certificates_rootca.zip 아카이브를 다운로드하게 하며, 이는 VMProtect를 통한 난독화 기반으로 보호된 실행 파일을 포함합니다. 이를 실행하면 VMProtect 기반의 DLL 파일과 다른 실행 파일이 생성되어 인증서 설치 프로세스를 시뮬레이션합니다. 결과적으로 감염된 시스템은 악성 FileInfo.dll and ftp_file_graber.dll DLL 파일과 StealDeal 악성코드 샘플을 기반으로 FateGrab에 감염될 수 있으며, 이는 다수의 인터넷 브라우저를 활용하여 데이터를 탈취할 수 있습니다.

UAC-0142 악성 활동 감지 

SOC Prime Platform은 UAC-0142 그룹의 적대적 활동에 기인하는 FateGrab/StealDeal 악성코드에 의해 촉발된 감염을 사이버 수비수들이 신속히 식별할 수 있도록 전문 Sigma 규칙 목록을 큐레이션합니다. 관련 탐지를 위한 원활한 검색을 위해, 그룹 식별을 기반으로 하는 맞춤 태그 ‘UAC-0142’로 필터링됩니다. 앞서 언급한 Sigma 규칙은 MITRE ATT&CK® 프레임워크 와 정렬되어 있으며, 업계 선두의 SIEM, EDR 및 XDR 언어 형식으로 즉시 변환 가능합니다. 

“탐색 탐지” 버튼을 클릭하면 UAC-0142 그룹의 적대적 활동과 관련된 큐레이션된 Sigma 규칙 목록을 즉시 확인할 수 있습니다. 보안 엔지니어는 또한 MITRE ATT&CK 및 CTI 참조가 추가된 이해하기 쉬운 사이버 위협 컨텍스트, 완화 조치, 관련 실행 바이너리 및 기타 메타데이터를 통해 위협 연구의 몇 초를 절약할 수 있습니다.  button to immediately drill down to the curated list of Sigma rules related to the adversary activity of the UAC-0142 group. Security engineers can also gain insights into the comprehensible cyber threat context enriched with MITRE ATT&CK and CTI references, mitigations, relevant executable binaries, and more metadata to shave seconds of threat research. 

버튼을 클릭하면 UAC-0142 그룹의 적대적 활동과 관련된 큐레이션된 Sigma 규칙 목록을 즉시 확인할 수 있습니다. 보안 엔지니어는 또한 MITRE ATT&CK 및 CTI 참조가 추가된 이해하기 쉬운 사이버 위협 컨텍스트, 완화 조치, 관련 실행 바이너리 및 기타 메타데이터를 통해 위협 연구의 몇 초를 절약할 수 있습니다. 

보안 팀은 또한 최신 CERT-UA#5709 경고에 포함된 관련 IOC를 Uncoder CTI를 통해 검색할 수 있습니다. 이 도구를 사용하여 보안 요구 사항에 맞게 성능 최적화된 IOC 쿼리를 자동으로 생성하고 SIEM 또는 XDR 환경 내에서 직접 UAC-0142의 악성 활동에 기인하는 위협을 검색하세요.

MITRE ATT&CK® 컨텍스트

우크라이나 DELTA 사용자를 대상으로 하고 FateGrab/StealDeal 악성코드를 확산시키는 UAC-0142 위협 행위자들의 악성 활동에 연관된 MITRE ATT&CK 컨텍스트를 탐색하려면 아래 표를 확인하세요. 제공된 Sigma 규칙은 해당 전술 및 기술을 다루는 ATT&CK v12에 매핑되어 있습니다: