New MerlinAgent Open-Source Tool Used by UAC-0154 Group to Target Ukrainian State Agencies

사이버 방어자들은 러시아 공격 세력에 의해 우크라이나와 그 동맹국을 겨냥하여 증가하는 사이버 공격의 양을 관찰하고 있으며, 공격자는 종종 피싱 공격 벡터를 활용하고 있습니다. 그리고 공공 부문이 주요 표적으로 작용합니다.

CERT-UA 는 우크라이나 정부 기관에 대한 정보 유출을 유도하는 제목과 CERT-UA로 가장한 발신자로부터 발송되는 첨부 파일이 포함된 이메일을 대량으로 배포하는 지속적인 피싱 캠페인에 대해 사이버 방어자들에게 알립니다. 이 방식으로, UAC-0154로 추적된 위협 행위자들은 GitHub에 소스 코드가 공개된 새로운 오픈 소스 MerlinAgent 도구를 활용하여 표적 사용자를 감염시키려 하고 있습니다.

MerlinAgent를 활용한 UAC-0154 공격 설명

2023년 8월 5일, CERT-UA 연구원들은 두 개의 새로운 경고를 발표했습니다. CERT-UA#6995 및 CERT-UA#7183, UAC-0154 해킹 그룹에 의해 우크라이나 국가 관계자를 겨냥하여 발송된 대량 이메일 배포의 세부 사항을 다룹니다. 이 지속적인 피싱 캠페인에서 해커들은 MS 오피스 설치에 대한 권장 사항과 사이버 위협 세부 정보가 포함된 유용한 파일로 가장된 CHM 이메일 첨부 파일과 연결된 유혹제 이메일 제목을 적용하며 발신자를 CERT-UA로 가장합니다.

CHM 파일 유혹제를 열면 JavaScript 코드 실행으로 이어지며, 이는 PowerShell 스크립트를 실행하여 GZIP 아카이브를 다운로드, 해독 및 압축 해제하려는 의도입니다. 후자는 GitHub에 소스 코드가 공개된 MerlinAgent 오픈 소스 도구를 사용하여 표적 시스템을 감염시키기 위해 설계된 실행 파일을 포함하고 있습니다. 추가로 UAC-0154 그룹은 Catbox라는 정식 파일 서비스를 이용하였습니다.

CERT-UA는 MerlinAgent 사용의 초기 사례 중 하나가 2023년 7월 상반기로 돌아가는 것으로 밝혀졌으며, 이때 우크라이나 정부 당국이 CERT-UA#6995 경고에 포함된 피싱 공격에 노출되었습니다.

CERT-UA#6995 및 CERT-UA#7183 경고에 포함된 UAC-0154 활동 감지

우크라이나와 그 동맹국을 겨냥한 피싱 캠페인이 증가함에 따라 사이버 방어자들은 감염을 제때 식별하고 위협을 적극적으로 차단하기 위한 초고속 대응을 필요로 합니다. SOC Prime 플랫폼은 보안 팀에 비용 효율적이고 혁신적인 도구를 제공하여 사이버 보안 성숙도를 향상시키고 SOC 투자의 최대 가치를 실현합니다.

관련 CERT-UA#6995 및 CERT-UA#7183 경고에 포함된 UAC-0154 해킹 그룹의 지속적인 공격을 방어하기 위해 SOC Prime 플랫폼은 사이버 위협 맥락으로 강화된 관련 Sigma 규칙을 큐레이팅하여 MITRE ATT&CK®, 그리고 업계를 선도하는 SIEM, EDR, XDR 기술로 자동 변환할 수 있습니다. 모든 탐지 알고리즘은 그룹과 주의 식별자를 기반으로 태그로 필터링되어 사용자가 콘텐츠 검색을 간소화하기 위해 그 중 하나를 선택할 수 있습니다.

다음 탐지 탐색 버튼을 클릭하여 위의 참조 Sigma 규칙을 얻고 일일 보안 작업에 도움을 줄 관련 사이버 위협 맥락으로 뛰어드십시오.

탐지 탐색

보안 전문가들도 Uncoder AI, SOC Prime의 증강 지능 프레임워크를 활용하여 최신 CERT-UA 경고에서 제안한 공격 지표 기반의 즉각적인 IOC 쿼리 생성을 통해 위협 연구를 가속화할 수 있습니다.

MITRE ATT&CK 맥락

사이버 방어자들은 또한 CERT-UA#6995 및 CERT-UA#7183 경고에 커버된 UAC-0154의 적대적 캠페인 뒤의 포괄적인 사이버 위협 맥락을 탐색할 수 있습니다. 아래 표를 확인하여 심층적인 위협 연구를 위해 위의 Sigma 규칙과 연결된 모든 적용 가능한 적대적 전술, 기술 및 하위 기술 목록을 찾으십시오.