마이크로백도어 악성코드: 벨라루스 APT 그룹 UNC1151(UAC-0051), 우크라이나 정부 표적

이 기사는 CERT-UA에서 수행한 원본 연구를 강조합니다: https://cert.gov.ua/article/37626 

2022년 3월 7일, 우크라이나 컴퓨터 긴급 대응 팀(CERT-UA)은 우크라이나 군대의 인력을 포함한 우크라이나 관리들의 개인 이메일을 대상으로 한 지속적인 스피어 피싱 캠페인을 구체적으로 설명하는 긴급 경고를 발행했습니다. CERT-UA은 벨라루스 출신의 UNC1151 APT 그룹(UAC-0051)이 이 악성 작전을 수행했다고 높은 수준의 신뢰도로 단정합니다.

2021년 말, Mandiant 위협 정보 전문가들은 Ghostwriter 허위 정보 캠페인 이 민스크 정부를 대신하여 활동하는 UNC1151 그룹과 연관이 있음을 밝혔습니다. 또한, 2020년에 FireEye 연구원들은 NATO에 대한 허위 성명을 퍼뜨리려는 유사한 허위 정보 작전을 추적했습니다. FireEye는 이러한 악의적인 활동이 적어도 2017년 3월부터 계속되어 왔으며 러시아의 이익과 일치한다고 믿습니다.

UNC1151 (UAC-0051) 우크라이나 관리 대상 MicroBackDoor: CERT-UA 연구

CERT-UA는 ‘довідка.zip’ 파일을 식별했으며, 이 파일에는 Microsoft 컴파일된 HTML 도움 파일인 ‘dovidka.chm’이 포함되어 있습니다. 이 CHM 파일에는 포탄 공격 중 행동 순서의 증명서인 ‘image.jpg’라는 미끼 이미지와 VBScript로 작성된 악성 코드가 포함된 HTA 파일 ‘file.htm’이 포함되어 있습니다. 후자의 실행은 드롭퍼 ‘ignit.vbs’의 생성 및 실행으로 이어지며 이는 ‘core.dll’ .NET 로더와 ‘desktop.ini’ (regasm.exe를 사용하여 ‘core.dll’을 실행) 및 ‘Windows Prefetch.lNk’ 파일을 디코딩합니다. 언급된 파일들은 이전에 언급한 ‘desktop.ini’의 wscript.exe를 사용하는 실행을 보장합니다.

마지막으로, .NET 로더는 MicroBackdoor 악성 코드를 디코딩하고 실행합니다. 백도어와 로더의 컴파일 날짜는 각각 2022년 1월 28일과 2022년 1월 31일입니다. 또한 C&C 서버에서 사용된 도메인은 2022년 1월 12일에 생성되었습니다. 이번 버전의 백도어는 표준 명령어(“id”, “info”, “ping”, “exit”, “upd”, “uninst”, “exec”, “shell”, “flist”, “fget”, “fput”) 외에도 “screenshot” 명령어가 추가되었습니다.

MicroBackdoor 악성 코드 by UNC1151: 추가 세부 사항

MicroBackdoor는 C++ 프로그래밍 언어로 개발된 공개된 백도어 악성 코드입니다. 자세한 내용은 다음과 같습니다:

• 작성자: cr4sh (aka Dmytro Oleksiuk).
• 기능: id, info, ping, exit, upd, uninst, exec, shell, flist, fget, fput, screenshot (UAC-0051/UNC1151의 구성원에 의해 별도로 구현됨).
• 서버 부분은 Python 프로그래밍 언어로 설계되었습니다. 이는 봇을 관리하기 위한 간단한 웹 인터페이스를 제공합니다.
• 지속성: Windows 레지스트리 실행 키.
• 봇과 서버 간의 통신은 RC4를 사용하여 암호화됩니다.

CERT-UA가 제공한 그래픽은 UNC1151이 활용한 관련 악성 파일 및 미끼 이미지를 설명합니다.

전세계적 침해 지표 (IOCs)

파일

e34d6387d3ab063b0d926ac1fca8c4c4  довідка.zip
2556a9e1d5e9874171f51620e5c5e09a  dovidka.chm
bc6932a0479045b2e60896567a37a36c  file.htm
bd65d0d59f6127b28f0af8a7f2619588  ignit.vbs
fb418bb5bd3e592651d0a4f9ae668962  Windows Prefetch.lNk
a9dcaf1c709f96bc125c8d1262bac4b6  desktop.ini
d2a795af12e937eb8a89d470a96f15a5  core.dll (.NET 로더)
65237e705e842da0a891c222e57fe095  microbackdoor.dll (MicroBackdoor)

네트워크 지표

xbeta[.]online:8443
185[.]175.158.27

호스트 지표

%PUBLIC%ignit.vbs
%PUBLIC%Favoritesdesktop.ini
%PUBLIC%Librariescore.dll
%APPDATA%MicrosoftWindowsStart MenuProgramsStartupWindows Prefetch.lNk
wscript.exe //B //E:vbs C:UsersPublicFavoritesdesktop.ini
C:WindowsMicrosoft.NETFrameworkv4.0.30319regasm.exe /U C:UsersPublicLibrariescore.dll

UNC1151에 의한 MicroBackdoor 감염을 탐지하기 위한 Sigma 동작 기반 콘텐츠

보안 전문가들은 최신 활동을 식별할 수 있습니다. UAC-0051 (aka UNC1151) SOC Prime의 Sigma 기반 감지 규칙을 통한

wscript.exe 실행

cmdline을 통한 LOLBAS regasm

cmdline을 통한 비정상적인 디렉터리에서의 LOLBAS regasm

UAC-0051 그룹 (벨라루스) | MicroBackdoor 악성 코드 탐지 (프로세스 생성 경유)

드문 위치에 DLL 드롭 (file_event 경유)

MITRE ATT&CK® 문맥

사이버 보안 전문가들이 우크라이나를 목표로 하여 MicroBackdoor 악성 코드를 퍼뜨리는 최신 UNC1151 사이버 공격의 문맥을 탐구할 수 있도록 Sigma 기반 탐지 콘텐츠는 다음 전술 및 기술을 다루는 MITRE ATT&CK 프레임워크 v.10에 맞춰져 있습니다: