메타스플로잇 메터프리터 멀웨어 탐지: 우크라이나 정부 기관을 대상으로 하는 UAC-0098 및 트릭봇 그룹과 연결된 새로운 피싱 사이버 공격

2022년 4월 28일, CERT-UA 는 경보를 발표했습니다 우크라이나 정부 기관을 대상으로 한 최신 피싱 사이버 공격이 Metasploit 프레임워크를 사용하여 이루어졌음을 알리는 것입니다. 이러한 악의적인 활동은 UAC-0098로 추적되는 그룹의 적대적인 행동 패턴에 기인할 수 있습니다. 게다가, 이번 가장 최근의 공격은 TrickBot 해킹 집단의 활동으로 추정되며, 이는 복잡한 봇넷을 운영하는 것으로 알려진 러시아와 관련된 악명 높은 랜섬웨어 갱단으로, FIN6 and Ryuk등과 같이 악성 소프트웨어 배포를 위한 타겟화된 악의적인 캠페인을 설계해 왔습니다.

Metasploit Meterpreter 페이로드란 무엇입니까: 사이버 공격 분석

Metasploit은 익스플로잇을 개발, 테스트 및 실행할 수 있는 침투 테스트 환경을 만드는 오픈 소스 프레임워크입니다. 이것은 위협 행위자와 화이트 햇 해커 모두가 관심 있는 네트워크와 서버의 취약점을 조사하는데 활용하는 강력하고 널리 채택된 도구입니다. Metasploit 프레임워크는 침투 테스트를 위한 다양한 도구와 기능을 제공하며, 잘 알려진 Meterpreter도 포함되어 있습니다.

최신 사이버 공격에서 우크라이나 국가 기관에 전달된 Meterpreter 멀웨어 는 암호화된 통신을 활용하고, 손상된 프로세스에 자신을 주입하며, 네트워크를 통해 원활하게 이동할 수 있는 정교한 페이로드로, 감염 전달을 용이하게 하고 충분한 포렌식 증거를 남기지 않습니다.

2022년 4월 28일, CERT-UA는 전쟁 테마를 활용한 피싱 캠페인과 악성 ISO 파일을 전달하는 것에 대한 경고를 발표했습니다. 특히, 위협 행위자는 우크라이나 대통령의 사기성 법령 파일을 전파했으며, 여기에는 DOCX 미끼 파일, LNK 바로 가기 파일, PowerShell 스크립트, 실행 파일이 포함되어 있었습니다. 실행되면, LNK 파일은 PowerShell 스크립트를 실행하여 감염 체인을 활성화하며, 그 결과 DOCX 파일을 열고, 그 후에 EXE 파일을 실행합니다. 결과적으로 피해자의 컴퓨터는 Meterpreter 멀웨어에 감염됩니다.

CERT-UA 조사는 악성 행동 패턴의 유사성을 관찰하여 이 캠페인을 러시아 지원 UAC-0098 및 TrickBot 그룹에 기인합니다.

UAC-0098 및 Trickbot의 캠페인을 감지하기 위한 Sigma 규칙

UAC-0098 해커가 수행한 피싱 사이버 공격으로부터 조직의 인프라를 보호하기 위해, SOC Prime 팀은 Metasploit Meterpreter를 활용한 최신 캠페인을 포함한 전용 Sigma 규칙 배치를 제공했습니다:

UAC-0098 그룹의 악성 활동을 감지하기 위한 Sigma 규칙

위 링크를 통해 모든 콘텐츠에 접근하거나 관련 #UAC-0098 태그를 사용하여 맞춤 검색을 수행하려면 SOC Prime의 Detection as Code 플랫폼에 등록하세요.

보안 실무자는 위의 탐지 콘텐츠를 통해 UAC-0098의 악성 활동과 관련된 위협을 사냥할 수도 있습니다 Quick Hunt 모듈. 

MITRE ATT&CK® 컨텍스트

Metasploit Meterpreter를 활용한 UAC-0098 및 TrickBot 그룹의 최신 피싱 공격의 컨텍스트를 파악하기 위해, 모든 관련 Sigma 규칙들은 해당 전술 및 기술을 다루는 MITRE ATT&CK 프레임워크와 정렬됩니다: