HATVIBE 및 CHERRYSPY 악성 코드 탐지: TAG-110 또는 UAC-0063에 의해 아시아 및 유럽 기관을 대상으로 한 사이버 스파이 캠페인
목차:
우크라이나에서 전면전이 시작된 지 거의 3년 동안 사이버 방어자들은 정보 수집을 위해 우크라이나 조직을 대상으로 한 러시아 정렬 공격 작전의 수가 증가하고 있음을 보고했습니다. 이러한 공격은 점차 지리적 범위를 확장하고 있습니다. TAG-110 또는 UAC-0063 으로 추적되는 러시아 지원 해킹 집단은 중앙 아시아, 동아시아 및 유럽의 조직에 대한 지속적인 사이버 스파이 작전의 배후로 관측되고 있습니다. 적대자는 주로 국가 기관, 인권 단체 및 교육 부문을 대상으로 집중하는 HATVIBE 및 CHERRYSPY 악성코드 도구를 활용합니다.
HATVIBE 및 CHERRYSPY를 활용한 TAG-110(UAC-0063) 공격 탐지
러시아 관련 TAG-110 그룹은 우크라이나를 새로운 공격 전술과 기술의 테스트 무대로 사용하면서 사이버 위협 환경에서 일관되게 활동하고 있습니다. 이러한 검증된 악성 방법은 모스크바 정부가 관심 있는 글로벌 대상으로 추가 적용되고 있습니다. 그룹의 다양한 적대자 도구 키트를 테스트하고 공격의 초기 단계 동안 다양한 감염 벡터를 활용하는 능력은 사전 방어 전략의 중요성을 강조합니다.
SOC Prime의 집단 사이버 방어 플랫폼은 고급 위협 탐지, 자동화된 위협 사냥 및 AI 기반 탐지 엔지니어링을 위해 완성된 제품군에 뒷받침되는 탐지 알고리즘 컬렉션을 제공하여 조직이 침입을 조기에 탐지하고 사이버 보안 태세를 강화할 수 있도록 합니다.
아래의 탐지 항목 탐색 버튼을 클릭하여 최근의 TAG-110 공격에 대응하는 탐지 스택에 접근하십시오: 아시아 및 유럽에서 HATVIBE 및 CHERRYSPY 악성 코드 사용. 모든 탐지 알고리즘은 MITRE ATT&CK® 프레임워크에 매핑되어 있으며 실행 가능한 CTI 및 메타데이터가 추가되고 30개 이상의 SIEM, EDR 및 데이터 레이크 솔루션에 배포할 준비가 되어 있습니다.
사이버 방어자는 과거 TAG-110(UAC-0063) 그룹의 활동을 분석하고 공격에 사용된 TTP에 대한 추가 문맥을 얻기 위해 위협 탐지 마켓플레이스에서 “UAC-0063” 태그를 검색하여 전용 Sigma 규칙 컬렉션에 접근할 수 있습니다.
TAG-110 aka UAC-0063 공격 분석, HATVIBE 및 CHERRYSPY 악성코드 확산
Insikt Group의 연구원들이 최근 단일화된 활동 클러스터 TAG-110을 밝혀냈습니다, 이 그룹은 최소한 2021년부터 사이버 공격 작전을 수행해 왔습니다. 이 그룹은 우크라이나의 CERT-UA가 모니터링하는 UAC-0063과 겹치며, APT28 해킹 집단 (UAC-0001)과 직접 연결될 가능성이 있습니다. 후자는 러시아 군대 총참모부 본부와 직접 연결되어 있습니다.
최신 캠페인에서 TAG-110은 주로 중앙 아시아, 동아시아 및 유럽의 조직을 공격합니다. 방어자들은 11개국에서 60개 이상의 피해자를 식별하였으며, 카자흐스탄, 키르기스스탄 및 우즈베키스탄에서 주요 사건이 발생했습니다. 이 그룹의 활동은 러시아가 지정학적 사건에 대한 정보를 수집하고 구소련 지역에 대한 영향력을 행사하려는 광범위한 전략의 일부인 것으로 보입니다.
지속적인 공격에서 적대자들은 HATVIBE 및 CHERRYSPY라는 맞춤형 악성 코드 도구를 적용했습니다. HATVIBE는 CHERRYSPY라는 Python 기반 백도어를 전달하는 맞춤형 HTML 애플리케이션 로더로 사용됩니다. 초기 접근은 주로 피싱 방식이나 Rejetto HTTP 파일 서버와 같은 웹 노출 서비스의 취약점 악용을 통해 이루어집니다. HATVIBE는 mshta.exe 유틸리티를 통해 실행되는 예약 작업을 사용하여 지속성을 유지합니다. VBScript 인코딩 및 XOR 암호화와 같은 난독화 방법을 사용합니다. 배포 후 HTTP PUT 요청을 통해 C2 서버와 기본적인 시스템 정보를 전송하며 통신을 합니다. CHERRYSPY는 HATVIBE를 강화하여 안전한 데이터 유출을 가능하게 합니다. RSA 및 AES 같은 강력한 암호화 기법을 사용하여 C2 서버와 통신합니다. TAG-110은 CHERRYSPY를 사용하여 피해자 시스템을 추적하고 민감한 데이터를 추출하며, 주로 정부와 연구기관을 대상으로 합니다.
특히 2024년 여름 중반에 UAC-0063는 동일한 악성 샘플을 실험하고 우크라이나 연구 기관에 대한 공격에서 알려진 HFS HTTP 파일 서버 취약점 을 무기로 사용했습니다. 그 이전에, 2024년 5월에는 그룹은 우크라이나, 중앙 및 동아시아, 이스라엘 및 인도의 조직을 표적으로 삼았고 위조된 이메일을 통해 공격하였습니다.
TAG-110과 유사한 위협을 완화하기 위해 조직은 보안 취약점을 제때 패치하여 악용 위험을 최소화하고, 다중 요소 인증 및 추가 보안 보호 계층을 적용하며 사이버 보안 인식을 높이는 것이 권장됩니다.
국가 후원 APT 그룹이 전략적 목표를 달성하고 정보를 수집하기 위해 정교한 캠페인을 계속 수행함에 따라, 전 세계 조직에는 사전적 사이버 방어 조치를 강화하는 것이 필수적입니다. TAG-110이 포스트 소련 중앙 아시아 국가들, 우크라이나 및 그 동맹국에 대한 사이버 스파이 작전을 유지할 가능성이 큼에 따라, 진보적인 조직들은 TAG-110 사이버 공격에 대한 사전 방어를 위해 미래 지향적인 솔루션을 찾고 있습니다.
여러 산업 분야의 조직을 APT 공격과 그 어떤 정교함의 중요한 위협으로부터 보호하기 위해, SOC Prime은 완전한 제품군을 큐레이팅하여 AI 기반 탐지 엔지니어링, 자동화된 위협 사냥, 고급 위협 탐지를 위한 최첨단 엔터프라이즈 준비 솔루션을 규모에 맞게 방어하는데 기여합니다. SOC Prime은 또한 빠른 시작 위협 사냥 및 탐지 엔지니어링 을 MSSP/MDR 조직 및 기업을 위해 맞춤화된 한정판 형태로도 제공하고 있습니다.
