UAC-0245 공격 탐지: CABINETRAT 백도어를 활용한 우크라이나 대상 표적 공격

2025년 9월, CERT‑UA 팀은 우크라이나 장교 연합(Ukrainian Officers Union) 구성원을 표적으로 삼은 일련의 표적형 사이버 공격을 밝혀냈습니다. 공격자는 Signal을 통해 공유된 Excel XLL 애드인으로 CABINETRAT 백도어를 유포하여 민감한 정보를 유출하고 손상된 시스템에 장기적인 접근을 유지했습니다. 기존에 관찰된 XLL 파일 사용 사례(예: 우크라이나 중요 인프라에 대한 Sandworm, APT44의 UAC-0002)를 제외하고 전술·기법·절차의 참신성이 높아 본 활동에는 별도 식별자 UAC-0245가 부여되었습니다.

CABINETRAT 백도어를 이용한 UAC-0245 활동 탐지

CERT‑EU의 2024 위협 풍경(Threat Landscape) 보고서에 따르면 보고된 사고의 44%가 국가 지원 위협 행위자와 연관된 것으로 보이는 사이버 스파이 또는 사전 포지셔닝 활동(데이터 유출 및 장기적 은밀 접근 수립 목적)이었습니다. 2025년 CERT‑UA는 이미 UAC-0200, UAC-0219 및 UAC-0226에 기인하는 우크라이나 대상 사이버 스파이 활동의 증가를 관찰했습니다. 최근의 CERT‑UA#17479 경보는 표적형 사이버 스파이 활동을 위해 CABINETRAT 백도어를 배포하는 UAC‑0245의 지속적 작전을 강조합니다.

SOC Prime Platform은 UAC‑0245에 의한 사이버 스파이 공격을 사전 차단하기 위해 관련 탐지 알고리즘 모음을 제공하고 있습니다. 탐지 보기를 클릭하면 실제 활용 가능한 인텔(IOC 포함)으로 보강된 Sigma 규칙들을 확인할 수 있으며, 이는 MITRE ATT&CK®에 매핑되어 다양한 SIEM, EDR 및 데이터 레이크 솔루션과 호환됩니다.

탐지 보기

보안팀은 SOC Prime의 Detection-as-Code 라이브러리에서 태그 “CERT‑UA#17479” 및 “UAC‑0245”를 사용해 관련 활동을 시기적절하게 식별할 수 있습니다.

또한 보안 엔지니어는 Uncoder AI를 AI 코파일럿으로 활용하여 탐지 엔지니어링 전반을 지원하고 워크플로우를 간소화하며 탐지 커버리지를 향상시킬 수 있습니다. Uncoder를 통해 수초 내에 IOC를 맞춤 헌팅 쿼리로 변환하고, 원시 위협 리포트에서 탐지 코드를 생성하며, Attack Flow 다이어그램을 생성하고, ATT&CK 태그 예측을 활성화하며, AI 기반 쿼리 최적화와 다중 플랫폼 간 탐지 콘텐츠 번역을 수행할 수 있습니다. 아래는 최신 CERT‑UA 경보를 기반으로 생성한 UAC‑0245의 Attack Flow 다이어그램 예시입니다.

UAC‑0245 활동 분석

2025년 9월, CERT‑UA는 우크라이나 장교 연합 구성원을 겨냥한 캠페인을 확인했으며 이 캠페인은 악성 Excel XLL 애드인을 통해 CABINETRAT 백도어를 배포했습니다. 초기 샘플은 기만적인 파일명(예: recept_ruslana_nekitenko.xll)을 사용했고, 일부는 우크라이나 국경을 넘으려다 적발된 사람을 위한 구금 통지문으로 위장된 Signal 공유 아카이브 500.zip에 번들되어 발견되었습니다.

해당 아카이브에는 dodatok.xll이 포함되어 있었고, 실행 시 표적 기기에 여러 구성요소를 드롭합니다. 여기에는 무작위 이름의 EXE(Startup 폴더에 배치), XLL 로더인 BasicExcelMath.xll(복사 위치: %APPDATA%\Microsoft\Excel\XLSTART\), 그리고 쉘코드를 숨기는 이미지 파일 Office.png이 포함됩니다.

EXE 파일의 지속성 확보를 위해 Windows 레지스트리 수정이 수행됩니다. 드로퍼는 또한 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\EXCEL.EXE를 확인하고, 애드인이 비활성화되지 않도록 HKCU\Software\Microsoft\Office\{14,15,16}.0\Excel\Resiliency\DisabledItems에서 항목을 제거합니다. 드롭된 EXE는 EXCEL.EXE를 숨김 모드로 /e(embed) 옵션으로 실행하여 이전에 설치된 BasicExcelMath.xll을 자동으로 로드합니다. XLL은 번들된 Office.png를 읽어내어 포함된 쉘코드를 추출하고, 이를 실행(사용된 API: VirtualProtect + CreateThread)으로 이어집니다. 이 쉘코드는 CABINETRAT 백도어로 분류되었습니다.

CABINETRAT은 C로 작성된 쉘코드 형태의 백도어로 광범위한 스파이 기능을 제공합니다. 시스템 및 설치 소프트웨어 정보를 열거하고, 명령을 실행·결과 반환, 디렉터리 목록 조회 및 파일 읽기/유출, 화면 캡처, 파일/폴더 삭제, 원격 서버로부터 파일을 가져오는 기능 등을 수행할 수 있습니다.

관찰된 UAC‑0245 활동은 이 사이버 위협의 진화적·지속적 특성을 보여줍니다. 공격자가 은닉 상태를 유지하는 능력은 표적 조직에 지속적인 위협을 가하므로 강력한 사이버보안 대응 체계가 필수적입니다. SOC Prime의 AI 기반 제품군 및 실시간 위협 인텔을 활용하면 모든 규모와 정교도의 신흥 위협에 대해 사전 방어가 가능합니다.

MITRE ATT&CK 맥락

MITRE ATT&CK를 활용하면 CABINETRAT 백도어를 이용한 최신 UAC‑0245 작전에 대한 상세한 인사이트를 얻을 수 있습니다. 아래 표는 관련된 모든 Sigma 규칙을 연관된 ATT&CK 전술, 기법 및 하위 기법에 매핑한 개요입니다.