UAC-0082 (Sandworm APT 그룹), 다양한 와이퍼 악성코드 계열을 활용한 사이버 공격 시리즈로 우크라이나 국가 정보 기관 ‘우크린포름’ 겨냥

[post-views]
1월 31, 2023 · 3 분 읽기
UAC-0082 (Sandworm APT 그룹), 다양한 와이퍼 악성코드 계열을 활용한 사이버 공격 시리즈로 우크라이나 국가 정보 기관 ‘우크린포름’ 겨냥

러시아와 연계된 Sandworm APT 그룹(UAC-0082)은 우크라이나의 공공 시스템과 중요 인프라를 적어도 10년 이상 지속적으로 공격해 왔습니다. 이 그룹은 2015-2016년 사이에 전 나라에 광범위한 정전을 일으킨 악명 높은 BlackEnergy 악성코드를 사용한 것으로 알려져 있습니다. 그 후 NotPetya 캠페인이 2017년에 발생했고 이는 결국 전 세계적으로 수백만 시스템이 감염되고 수십억 달러의 피해를 야기한 사이버 위기를 만들어 냈습니다. 2022년, 전면적인 전쟁이 발발하기 직전, Sandworm은 우크라이나 전력 시설을 Industroyer 2 로 타겟 하였고, CaddyWiper, HermeticWiperWhispergate 와 같은 여러 데이터 와이퍼를 활용하여 우크라이나 정부 인프라를 공격했습니다.

침입은 2022-2023년 동안 고조되었습니다. CERT-UA#5850의 최신 경고에 따르면 2023년 1월 27일에 발행된, Sandworm APT는 우크라이나 국립 정보 기관 “Ukrinform”을 목표로 최소 다섯 가지 다른 악성코드 샘플을 사용하여 정보와 통신 시스템을 마비시키려는 일련의 공격을 시작했습니다.

최근 Sandworm APT (UAC-0082)에 의한 우크라이나 국립 정보 기관 “Ukrinform” 분석 

2023년 1월, CERT-UA는 국립 정보 기관 “Ukrinform”의 정보 및 통신 시스템의 중단을 목표로 한 사이버 공격 시리즈를 추적했습니다. CERT-UA 전문가들의 조사에 따르면 적어도 다섯 가지 이상의 악성 스크립트가 정보의 무결성과 가용성을 손상시킬 수 있는 것으로 나타났습니다. 

The 최신 경고에 따르면 위협 행위자가 CaddyWiper 및 ZeroWipe 파괴 스크립트, AwfulShred 및 BidSwipe 와이퍼, 그리고 합법적인 Windows 명령줄 유틸리티 SDelete를 활용하여 다양한 운영 체제(Windows, Linux, FreeBSD)를 실행하는 사용자 컴퓨터를 마비시키려고 시도했다는 사실을 확인했습니다. 또한, 통합된 악성 코드 전파를 진행하기 위해, 해커들은 해당 악성 작업을 시작하도록 설정된 그룹 정책 객체(GPO)를 생성했습니다. 그러나, 조사는 공격이 부분적으로 성공하여 몇몇 데이터 저장 시스템만이 손상되었다는 것을 보여줍니다.  

또한, CERT-UA는 “Ukrinform” 기관의 자원에 대한 무단 원격 액세스를 제공하기 위해 오용된 대상 정보 및 통신 시스템의 요소를 발견했습니다. 

조사 결과를 고려할 때, CERT-UA는 높은 수준의 확신을 가지고 Sandworm APT, 또한 UAC-0082로 추적되는 이 악성 작업의 배후에 있다고 의심합니다. 

CERT-UA#5850 경고에 포함된 우크라이나에 대한 Sandworm APT 공격 탐지

글로벌 사이버 전쟁 발발 이후, Sandworm APT와 같은 악명 높은 러시아 지원의 해킹 집단과 관련된 우크라이나와 그 동맹국을 목표로 한 파괴적인 공격이 현저하게 증가했습니다. 조직들이 인프라 내에서 악성 활동을 적시에 식별할 수 있도록 SOC Prime의 코드를 통한 탐지 플랫폼은 emerging 위협, exploition, 또는 적수 TTPs에 대해 거의 실시간의 탐지 알고리즘을 지속적으로 제공합니다.

클릭하여 탐지 탐색 아래 버튼을 클릭하여 CERT-UA#5850 경고에 포함된 최신 사이버 공격에 대한 규칙 및 쿼리를 포함한 Sandworm APT 활동 탐지를 위한 Sigma 규칙의 포괄적인 목록에 즉시 접근합니다.

탐지 탐색

위의 모든 탐지 알고리즘은 포괄적인 사이버 위협 컨텍스트로 강화되어 있으며, 산업선도 SIEM, EDR & XDR 플랫폼, 및 데이터 레이크 솔루션과 호환됩니다. 관련 Sigma 규칙을 검색 용이하게 만들기 위해, CUSTOM 태그 “CERT-UA#5850″를 기반으로 CERT-UA 경고 ID와 함께 필터링됩니다.  

아울러, 보안 엔지니어는 Uncoder CTI 도구를 활용하여 파일, 호스트, 그리고 네트워크 IOC를 바탕으로 성능이 최적화된 수색 쿼리를 즉시 생성하고, 선택한 SIEM 또는 XDR 환경에서 Sandworm APT 활동과 관련된 위협을 검색할 수 있습니다.  CERT-UA#5850 alert and search for relevant threats associated with the Sandworm APT activity in the selected SIEM or XDR environment. 

Uncoder CTI for CERT-UA#5850 경고

MITRE ATT&CK® 컨텍스트

우크라이나를 목표로 한 Sandworm APT 그룹(UAC-0082)의 가장 최근 사이버 공격의 맥락을 탐구하기 위해, 위에 언급된 모든 Sigma 규칙은 MITRE ATT&CK® 프레임워크 v12 에 맞춰 관련 전술과 기술을 다루고 있습니다:

Tactics 

Techniques

Sigma Rule

Defense Evasion

File and Directory Permissions Modification (T1222)

Indicator Removal (T1070)

Hide Artifacts (T1564)

System Binary Proxy Execution (T1218)

Obfuscated Files or Information (T1027)

Deobfuscate/Decode Files or Information (T1140)

Impact

Data Destruction (T1485)

Discovery

Network Service Discovery (T1046)

Execution

Command and Scripting Interpreter (T1059)

러시아와 연계된 사이버 공격에 대해 적극적으로 방어하고 사이버 보안 태세를 강화하고자 하나요? 우크라이나의 방어를 돕기 위해 수익의 100%를 기부하는 자선 기반 #Sigma2SaveLives 구독의 일환으로 500개 이상의 Sigma 규칙과 50개의 탐지 알고리즘 중 선택한 것에 즉시 액세스하십시오. 세부 사항은 https://my.socprime.com/pricing/

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.

관련 게시물