Gamaredon 캠페인 탐지: 러시아 지원 APT 그룹이 LNK 파일을 이용해 우크라이나를 타겟으로 Remcos 백도어 확산
목차:
러시아 관련 Gamaredon APT 우크라이나에 대한 사이버 공격으로 악명 높은 이 그룹이 사이버 위협 무대에 다시 등장했습니다. 우크라이나를 타겟으로 하는 현재의 Gamaredon 적대적 캠페인은 전쟁과 관련된 주제를 미끼로 가장한 악성 LNK 파일을 활용하여 Remcos 백도어를 배포하고 DLL 사이드로딩 같은 정교한 기술을 적용합니다.
Gamaredon 그룹 공격 탐지
The 러시아에 소속된 해킹 그룹들 은 글로벌 조직에 지속적인 위협으로 남아 있으며, 감지를 회피하기 위해 전술을 계속 개선하고 있습니다. 우크라이나에서의 전면전이 시작된 이후, 이 APT 그룹들은 공격적인 전략을 혁신하고 확장하기 위해 갈등을 시험 무대로 삼아 그들의 작전을 강화해왔습니다. 다듬어진 후에는, 이 기법들이 모스크바의 전략적 목표에 부합하는 고프로필 글로벌 타겟에 대해 파괴적으로 사용되며, 사이버 위협의 범위를 전 세계적으로 확장합니다. 이러한 끝없는 활동은 보안 전문가들이 진화하는 적에게 앞서기 위해 신뢰할 수 있는 탐지 콘텐츠와 고급 위협 탐지 및 사냥 도구를 찾도록 강요합니다.
러시아 후원을 받은 Gamaredon APT 공격을 가장 초기 단계에서 발견하기 위해, 사이버 수비자들은 SOC Prime 플랫폼에 의존할 수 있습니다 로 AI 기반 감지 엔지니어링, 자동화된 위협 사냥, 고급 위협 탐지를 위한 완전한 제품군을 제공합니다. 아래의 탐지 내용을 탐색 버튼을 누르면 Remcos를 확산시키는 최신 Gamaredon 캠페인을 다루는 Sigma 규칙 세트를 즉시 깊게 살펴볼 수 있습니다.
모든 규칙은 다수의 SIEM, EDR, 데이터 레이크 기술과 호환되며 MITRE ATT&CK® 프레임워크에 매핑되어 위협 조사 과정을 간소화합니다. 또한, 각 규칙은 CTI 링크, 공격 타임라인, 트리아지 권장 사항 등 방대한 메타데이터로 풍부하게 보강됩니다.
아울러, 보안 전문가들은 최신 Cisco Talos 보고서의 최신 Gamaredon 캠페인에서 IOC를 사냥할 수 있습니다. Uncoder AI 가 위협 정보 기반 감지 엔지니어링을 위한 비대리적 AI로서 작용하여, 이 IOC를 자동으로 구문 분석하고 선택한 SIEM 또는 EDR 플랫폼에 맞춘 사용자 정의 쿼리로 변환하여 빠른 IOC 검사를 활성화할 수 있습니다.
그리고 Uncoder AI가 제공할 수 있는 것은 더 많습니다. 3월, SOC Prime은 Uncoder AI의 주요 업그레이드를 출시하였으며, 프라이버시 우선의 무제한 AI LLM 기능을 제공하여 항상 AI와의 상호작용을 제어할 수 있도록 합니다. 코드의 언어를 자동으로 감지하고 간결한 요약이나 깊이 있는 의사 결정 트리를 얻으며, MITRE ATT&CK® ML 기반 코드 태깅 및 무제한 자동완성으로 감지 전략을 강화하고, AI로 원어 쿼리를 최적화합니다.
Gamaredon TTP를 다루는 더 많은 탐지 콘텐츠를 찾아 그룹의 활동을 회고적으로 분석하고자 하는 보안 전문가들은 Threat Detection Marketplace 를 다음 태그를 사용하여 탐색할 수 있습니다: “UAC-0010,” “Gamaredon,” “Hive0051,” “ACTINIUM,” “Primitive Bear,” “Armageddon Group,” “Aqua Blizzard,” “WINTERFLOUNDER,” “UNC530,” “Shuckworm.”
Gamaredon 캠페인 분석: 최신 공격에서 Remcos 확산
러시아 국가 후원의 APT 그룹으로 알려진 Gamaredon 그룹 (aka Hive0051, UAC-0010, 또는 Armageddon APT)은 2014년부터 우크라이나 조직을 대상으로 사이버 스파이 캠페인을 전개해왔으며, 그 공격을 러시아의 전면 침공 이 2022년 2월 24일 우크라이나 성애 발생한 이후로 가속화해왔습니다. 갈등이 계속됨에도 불구하고, 이 그룹은 꾸준한 활동 수준을 유지하며 악성 도구를 계속 배포하고 우크라이나를 가장 지속적으로 타겟팅하는 해킹 단체로 자리매김하고 있습니다.
Cisco Talos 연구자들은 무기화된 LNK 파일을 우크라이나 사용자에게 스피어 피싱으로 타겟팅하는 Gamaredon의 캠페인을 발견했습니다. 2024년 11월부터 시작된 이 그룹의 최신 캠페인은 전쟁과 관련된 주제를 악용하여 Remcos 백도어를 전달합니다. 정확한 전송 방법은 불확실하나, 연구자들은 Gamaredon이 여전히 피싱 이메일을 사용하고 ZIP 파일을 직접 첨부하거나 원격 서버에서 다운로드할 수 있는 링크를 제공할 것으로 추측합니다.
Remcos RAT은 데이터 절도 및 시스템 조작을 위해 사이버 범죄자들에 의해 일반적으로 악용되며, 으로, 우크라이나를 타겟팅하는 다수의 해킹 집단의 적수 도구 세트의 일부로 오랜 기간 동안 있어 왔습니다. 예를 들어, 러시아 지원 해킹 그룹인 UAC-0050 은 주로 우크라이나 국가 기관을 대상으로 한 피싱 공격에서 Remcos를 무기화했습니다.
Gamaredon은 이전에 우크라이나 침공 주제를 자신의 피싱 캠페인에 활용한 것으로 알려져 있으며, 현재의 작전도 동일한 패턴을 따릅니다. 이 그룹은 침공 관련 파일명으로 가장한 ZIP 아카이브 내에 악성 LNK 파일을 배포합니다.
Gamaredon의 최신 캠페인은 Remcos 백도어를 다운로드하여 실행하는 동안 감염을 위장하는 데코이 파일을 표시하는 난독화된 PowerShell 스크립트가 포함된 악성 LNK 파일을 사용합니다. 이러한 스크립트는 문자열 기반 감지를 우회하기 위해 Get-Command cmdlet을 사용합니다. 독일과 러시아에 위치한 페이로드 서버는 우크라이나 피해자에게만 접근을 제한합니다.
다운로드가 완료되면 ZIP 파일은 %TEMP% 폴더에 추출되어 합법적 응용 프로그램이 악성 DLL을 사이드로딩으로 적재합니다. 이 기법은 최종 Remcos 페이로드를 해독하여 실행하여 전통적인 방어를 회피합니다. 피싱 이메일에는 아마도 직접적인 ZIP 파일 첨부나 그것들을 다운로드할 수 있는 링크가 포함되어 있었을 것입니다.
캠페인은 지정학적 주제를 악용하며, 메타데이터 분석은 이 LNK 파일이 단 두 대의 기계에서 생성되었음을 시사하며, 이는 Gamaredon의 이전 전술과 일치합니다.
최근 Gamaredon 캠페인에서 사용된 고급 적대적 기법, 예를 들어 DLL 사이드로딩, 지리적 제한 서버 및 주제화된 피싱 미끼들은 그룹의 계속적인 우크라이나 타겟팅 노력을 보여줍니다. 이러한 위협에 대응하기 위해, 조직들은 방어를 확장해야 합니다. SOC Prime 플랫폼 은 집단 사이버 방어를 위해 최첨단 AI, 자동화, 실시간 위협 정보 기술을 결합하여 보안 팀이 APT 공격 및 진화하는 사이버 위협에 선제적으로 방어하도록 돕습니다.
