Remcos 스파이웨어를 전파하는 UAC-0050 및 UAC-0096 그룹으로 인한 새로운 피싱 공격 탐지

2023년 2월은 피싱 공격 벡터를 활용하고 원격 액세스 소프트웨어를 이용하여 우크라이나를 대상으로 한 적대적 캠페인이 지속되는 달로 기록될 수 있습니다. 피싱 공격이 확산되면서 Remcos RAT 및 악용하는 Remote Utilities 소프트웨어를 사용하여 우크라이나 조직을 대상으로 하는 또 다른 대량 이메일 배포가 사이버 수비대의 주목을 받습니다. 최신 CERT-UA#6011 경고 는 Pechersk 지방법원을 사칭하여 Remcos 스파이웨어를 손상된 시스템에 설치하려는 피싱 캠페인을 자세히 설명합니다.

CERT-UA#6011 경고에서 다룬 Remcos 악성코드를 이용한 피싱 공격

우크라이나의 전면전 1주년 기념일이 가까워지면서 공격 세력들은 주로 피싱 공격 벡터를 통해 악의적인 활동을 증가시키고 있습니다. 2023년 2월에는 사이버 위협 분야에서 우크라이나를 대상으로 하는 세 가지 지속적인 적대적 캠페인이 주목을 받았으며, 모두 원격 액세스 도구 를 사이버 스파이 활동에 사용할 가능성이 높습니다. 

2023년 2월 21일, CERT-UA 연구원들은 새로운 경고를 발행하여 또 다른 피싱 공격에 대해 사이버 수비대에게 경고했습니다 Remcos 스파이웨어를 확산시키는 것입니다. 지속적인 사기 이메일 캠페인은 2월 초의 공격에서 관찰된 익숙한 행동 패턴을 따릅니다. 위협 행위자들은 발신자를 Kyiv의 Pechersk 지방법원으로 위장하고, 목표 사용자가 열어보도록 속이기 위해 유인 RAR 파일을 사용합니다. TXT 파일과 또 다른 암호로 보호된 RAR 파일을 포함한 아카이브를 추출함에 따라 감염 체인이 시작됩니다. 후자는 합법적인 디지털 서명을 위장한 악성 실행 파일로 유인하는 파일을 포함하고 있습니다. 후자의 EXE 파일을 실행하면 손상된 시스템에 Remcos 스파이웨어가 설치됩니다.

목표 시스템에 대한 접근을 확보하고 감염이 성공적으로 확산된 후, 위협 행위자들은 데이터를 탈취하고 조직의 인프라에 대한 네트워크 정찰 및 추가 공격에 대해 손상된 컴퓨터를 악용할 수 있습니다. 

CERT-UA 조사는 진행 중인 피싱 캠페인에서 관찰된 적대적 행동 패턴을 유사한 패턴을 보인 2월의 다른 사이버 공격과 연관시켰습니다. Remote Utilities 소프트웨어연구자들은 최신 캠페인 및 이전 캠페인 중 하나의 이메일에 사용된 동일한 IP 주소를 발견했습니다. 관찰된 행동 유사성을 바탕으로, CERT-UA 연구원들은 두 캠페인(UAC-0050 및 UAC-0096)을 모두 단일 식별자인 UAC-0050으로 추적할 것을 제안합니다.  

우크라이나 기관을 겨냥한 최신 Remcos 스파이웨어 캠페인 탐지 

우크라이나는 인류 역사상 최초의 완전한 사이버 전쟁의 최전선에서 싸우면서 정부 기관과 비즈니스 자산에 대한 사이버 공격의 홍수를 지속적으로 견뎌내고 있습니다. 우크라이나와 그 동맹국이 어떤 규모의 러시아 연계 침투에 대해 선제적으로 방어하고 위협 행위자들의 TTP를 탐지할 수 있도록 돕기 위해, SOC Prime Platform은 Remcos 스파이웨어 및 Remote Utilities 소프트웨어 남용과 관련된 악의적인 활동을 탐지하는 Sigma 규칙의 포괄적인 목록에 접근을 제공합니다. 모든 탐지는 보안 실무자들이 자신의 보안 환경에 맞는 것을 활용할 수 있도록 25개 이상의 SIEM, EDR, XDR 솔루션과 호환됩니다. 

Hit the 탐지 탐색 버튼을 눌러 광범위한 메타데이터로 강화된 알림 및 사냥 쿼리의 전용 세트에 도달하세요. 여기에는 MITRE ATT&CK® 참조 및 사이버 위협 인텔리전스 링크가 포함되어 있습니다. 관련 Sigma 규칙을 검색하는 효율성을 높이기 위해, SOC Prime Platform은 전용 CERT-UA 경고 및 해킹 집단의 해당 식별자를 기반으로 커스텀 태그 “UAC-0050”, “UAC-0096”, “CERT-UA#6011”을 통해 필터링을 지원합니다. 

탐지 탐색

보안 수행자는 또한 혁신적인 Uncoder.IO 도구를 활용하여 선택한 SIEM & XDR 환경에서 실행할 준비가 된 정제된 사냥 쿼리로 IoC를 전환함으로써 관련된 침해 지표를 검색하여 위협 사냥 활동을 효율화할 수 있습니다. 파일, 호스트 또는 네트워크의 텍스트를 붙여넣거나 검색 바를 사용하여 관련 IoC를 찾아 즉시 성능이 최적화된 쿼리를 얻으세요. Uncoder.IO는 개인 정보를 염두에 두고 개발된 무료 프로젝트로, 인증이 필요 없으며 데이터 로그 수집이 없으며 모든 데이터는 세션 기반으로 귀하의 평온을 위해 유지됩니다. IoCs provided by CERT-UA to instantly get a performance-optimized query. Uncoder.IO is a free project developed with privacy in mind — no authentication, no log collection, and all data is kept session-based for your peace of mind.

MITRE ATT&CK 컨텍스트

CERT-UA#6011 경고에서 보고된 Remcos 악성 캠페인의 심층적인 컨텍스트를 파악하기 위해, 위에서 참조한 모든 Sigma 규칙은 관련 전술 및 기술을 해결하기 위해 ATT&CK v12에 태그가 지정되어 있습니다.