MAGICSPELL 악성코드 탐지: UAC-0168 해커, 우크라이나의 나토 가입 문제를 피싱 미끼로 사용해 목표 공격 수행

Daryna Olyniychuk 탐지 시장 분석가

팔로우

Add to my AI research

CERT-UA 연구원들은 최근에 우크라이나 세계 대회 웹사이트의 영어 버전의 사기성 복사본을 발견했습니다. https://www.ukrainianworldcongress.org/ 위조된 웹 자원은 열릴 경우 감염 체인을 유발하는 몇 가지 DOCX 문서를 포함하고 있습니다. 공격 체인의 결과로, 해커들은 감염을 더욱 확산시키기 위해 다운로드, 해독 및 다른 로더를 실행하려는 MAGICSPELL 페이로드를 배포할 수 있습니다. 식별된 악성 활동은 UAC-0168로 추적되고 있습니다.

UAC-0168 표적 공격 분석이 CERT-UA#6940 경고에서 다뤄졌습니다.

2023년 7월 5일 CERT-UA 연구원들은 최신 CERT-UA#6940 경고 를 발행했으며, 이는 UAC-0168 해킹 그룹에 귀속된 표적 적대적 활동을 다룹니다. 이 악성 캠페인에서, 위협 행위자들은 피해자로 하여금 악성 DOCX 파일을 열고 감염을 유발하도록 유도하기 위해 우크라이나 세계 대회 웹사이트의 정품 버전의 사기성 복사본을 활용합니다. 위조 웹 자원은 다가오는 NATO 정상회담과 우크라이나의 NATO 회원 자격과 관련된 제목을 가진 두 개의 DOCX 문서를 포함하며, 둘 다 악성 URL 주소와 UNC 경로를 가진 RTF 문서를 포함하고 있습니다.

위협 행위자들은 HTTP 및 SMB 프로토콜을 통해 통신을 설정합니다. 상기 언급된 DOCX 파일을 열고 관련 취약성을 성공적으로 악용하면 .chm 파일과 HTM 및 웹 아카이브 파일을 포함한 일련의 악성 파일을 다운로드 및 실행하게 되며, URL 및 VBS 파일이 감염을 더욱 확산시킵니다. 마지막으로 해커들은 SMB 자원에 위치한 EXE 및 DLL 형식의 다양한 파일을 실행할 수 있습니다.

조사 기간 동안, 사이버 보안 연구원들은 손상된 시스템에 다른 악성 실행 파일을 배포하고 지속성을 유지할 수 있는 MAGICSPELL 로더로 식별된 ‘calc.exe’ 파일을 공개했습니다.

공격자들이 활용한 SMB 자원 분석 결과 전 세계 30개국에 분포된 195개의 IP 주소가 나타났으며, 대부분이 VPN 서버와 연구 기관에 속해 있습니다.

CERT-UA에 따르면, 우크라이나의 NATO 회원 자격이라는 주제와 우크라이나 세계 대회의 이름을 피싱 미끼로 사용함으로써 UAC-0168의 최근 공격이 7월 11-12일 리투아니아 빌뉴스에서 열릴 예정인 NATO 정상회담과 연관이 있다고 밝혔습니다.

우크라이나에 대한 UAC-0168의 최신 공격 탐지하기

위협 조사를 간소화하고 UAC-0168 표적 공격 관련 최신 공격 활동을 감지하기 위해 SOC Prime Platform은 선택된 시그마 규칙 세트를 제공합니다. 사용자들은 CERT-UA 경고 및 그룹 식별자에 기반하여 “CERT-UA#6940” 및 “UAC-0168” 맞춤 태그로 규칙을 필터링하여 관련 탐지 알고리즘을 검색할 수 있습니다.

아래의 탐지 탐색 버튼을 클릭하여 UAC-0168 공격 탐지를 목표로 한 광범위한 시그마 규칙 목록으로 즉시 심층 분석하세요. 모든 규칙은 MITRE ATT&CK® framework v12에 매핑되어 있으며, 적용 가능한 메타데이터 및 관련 사이버 위협 문맥을 제공하고, 조직별 보안 요구 사항에 맞추기 위해 28개 이상의 SIEM, EDR, 및 XDR 솔루션과 호환됩니다.

탐지 탐색

또한 보안 팀은 Uncoder AI를 활용하여 UAC-0168 집단과 연결된 침해 지표를 검색하여 위협 사냥 속도를 높일 수 있습니다. 최신 경고에 CERT-UA가 나열한 파일, 호스트 또는 네트워크 IOC를 도구에 복사하여 붙여넣고 검색 대상으로 지정된 쿼리의 콘텐츠 유형을 선택하면 즉시 성능 최적화된 IOC 쿼리를 생성하여 환경 및 최신 보안 요구 사항에 맞출 수 있습니다. into the tool and select the content type of the target query to instantly create a performance-optimized IOC query matching your environment and current security needs.

CERT-UA#6940 경고에서 제공된 IOC를 통해 Uncoder AI로 IOC 쿼리 생성

MITRE ATT&CK 문맥

CERT-UA#6940 경고에 다뤄진 UAC-0168의 최신 공격 뒤에 있는 광범위한 문맥을 검토하기 위해 모든 관련 시그마 규칙은 해당 적의 전술 및 기술을 다루는 ATT&CK v12로 태그가 지정되어 있습니다.

Tactics	Techniques	Sigma Rule
Defense Evasion	System Binary Proxy Execution (T1218)	LOLBAS HH - HTML Help Executable Program (via cmdline)
		Rundll32 Dll Suspicious Path Execution (via process_creation)
		LOLBAS control (via cmdline)
	System Script Proxy Execution (T1216)	LOLBAS WScript / CScript (via process_creation)
Execution	Command and Scripting Interpreter (T1059)	Environment Variables in Command Line Arguments (via cmdline)
Execution	Command and Scripting Interpreter (T1059)	LOLBAS WScript / CScript (via process_creation)
Credential Access	Forced Authentication (T1187)	Suspicious Outbound SMB Connections (via network_connection)

SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀사의 비즈니스에 가장 중요한 위협에 대한 가시성을 개선하세요. 시작을 돕고 즉각적인 가치를 제공하기 위해 지금 SOC Prime 전문가와의 회의를 예약하세요.

무료 가입 회의 예약

More 최신 위협 Articles

UAC-0255 공격 탐지: 위협 행위자들이 CERT-UA를 사칭해 AGEWHEEZE RAT로 우크라이나 공공 및 민간 부문 조직을 감염시키다

SesameOp 백도어 탐지: 마이크로소프트가 사이버 공격에서 OpenAI 비서 API를 악용한 새로운 멀웨어 발견