UAC-0050의 새로운 피싱 캠페인: Remcos RAT를 배포하기 위한 키이우스타 및 우크라이나 보안 서비스 미끼

사이버 보안 분석가들은 우크라이나의 공공 및 민간 부문을 대상으로 한 악성 활동이 상당히 증가하고 있음을 관찰하고 있으며, 공격자들은 종종 피싱 벡터 를 침입을 시작하는 주요 전략으로 사용합니다.

CERT-UA는 우크라이나 기관을 대상으로 한 지속적인 공격에 대해 사이버 방어자에게 통지하며, 이들은 Kyivstar와 우크라이나 보안 서비스를 피싱 미끼로 사용하고 있습니다. 악명 높은 UAC-0050 그룹은 피해자를 감염시키기 위해 이 그룹의 공격 도구에서 일반적으로 사용하는 Remcos RAT을 목표로 삼고 있습니다.

UAC-0050 공격 분석: Remcos RAT을 사용한 새로운 피싱 캠페인

2023년 12월의 첫 번째 10일 동안, UAC-0050 그룹은 다시 사이버 위협 무대에 대대적으로 우크라이나 및 폴란드 정부 기관을 대상으로 하였으며 Remcos RAT과 Meduza Stealer라는 두 가지 악성 스트레인을 활용했습니다. 특히, 11월과 2023년 12월 초, UAC-0050 해커들은 우크라이나 대상으로 최소 두 번의 공격 작전을 펼쳤으며, 그 중 하나는 피싱 미끼를 사용하여 Remcos RAT을 확산시켰습니다. 우크라이나 보안 서비스를 가장하여피싱 캠페인을 펼친 후, UAC-0050는 동일한 공격 벡터를 통해 공격을 계속하기 위해 다시 나타났습니다.

2023년 12월 21일, CERT-UA는 새 알림 을 발행하여 Kyivstar 사용자의 잔액과 관련된 주제를 미끼로 하고, 우크라이나 보안 서비스를 가장한 두 가지 이메일 배포 캠페인을 밝힌 바 있습니다. 공격자들은 관련된 Kyivstar 주제와 함께 미끼 ZIP 첨부파일을 포함한 피싱 이메일을 보냅니다.

해당 압축 파일에는 암호로 보호된 RAR 파일이 들어 있으며, DOC 파일과 유해한 매크로가 포함되어 있습니다. 매크로가 SMB 프로토콜을 통해 explorer.exe로 활성화되면 영향을 받은 시스템에 실행 파일을 다운로드하고 실행합니다. 이후, 이는 Bitbucket 서비스를 통해 파일을 다운로드하고 다른 실행 파일 “wsuscr.exe”를 실행하기 위한 BATCH 스크립트를 포함하는 자동 압축 풀림(SFX) 아카이브입니다. 이후 파일은 Remcos RAT을 해독하고 실행하도록 설계되었습니다.

CERT-UA는 또한 우크라이나 보안 서비스를 가장한 미끼 주제를 가진 피싱 이메일과 악성 첨부 파일을 관찰했습니다. 후자는 3개의 부분으로 나뉜 RAR 아카이브를 포함한 암호로 보호된 ZIP 파일이 포함되어 있으며, 마지막 부분은 실행 파일을 포함합니다. 이 아카이브를 열고 실행 파일을 실행하면 Remcos RAT 감염을 초래할 수 있습니다.

이 캠페인에서 UAC-0050은 Remcos RAT의 제어 서버를 갖추고 운영하며, 흔히 말레이시아 제공업체의 서비스를 이용합니다. 또한, 적대자들은 다양한 호스팅 요구를 위해 AS44477 (STARK INDUSTRIES SOLUTIONS LTD) 자율 시스템을 사용합니다.

CERT-UA#8338 경고 내에 포함된 UAC-0050 피싱 공격 감지

우크라이나와 그 동맹국을 대상으로 한 UAC-0050 해킹 집단의 피싱 공격이 급증하여 잠재적 표적이 될 수 있는 조직에 큰 위협이 되고 있습니다. 최신 그룹의 공격 물결은 Remcos RAT이 감염 체인 내에서 사용되는 유사한 행동 패턴을 가리킵니다. SOC Prime은 방어자가 UAC-0050 적대 활동과 해당 환경에서 Remcos RAT 감염의 흔적을 식별할 수 있도록 돕기 위해 감지 알고리즘 컬렉션을 준비합니다. 관련 CERT-UA#8338 연구 내에서 공격 감지에 적용되는 Sigma 규칙을 보려면 아래 링크를 따르십시오:

CERT-UA 관련 CERT-UA#8338 경고로 확인된 공격을 탐지하기 위한 Sigma 규칙

보안 엔지니어는 “UAC-0050” 사용자 지정 태그로 필터링된 전체 감지 스택에 대한 접근도 “탐색 감지 버튼을 클릭하여 이 감지 알고리즘 컬렉션은 방어자가 위협 감지 및 사냥 능력을 강화하고 UAC-0050 공격 활동과 관련된 위협을 적시에 해결할 수 있도록 설계되었습니다. 모든 Sigma 규칙은 MITRE ATT&CK®과 일치하며, 자동으로 수십 개의 사이버 보안 언어로 변환할 수 있고 맞춤화된 CTI로 풍부하게 구성됩니다. 

버튼을 클릭하여

보안 전문가들은 또한 오픈 소스 Uncoder IO 를 활용하여 대규모로 IOC 일치 검사를 수행할 수 있습니다. Uncoder IO 왼쪽 패널에서 IOC를 선택하고, 관련 CERT-UA 경고로부터 위협정보를 붙여넣고, 플랫폼과 대해 언어로, 예를 들어 OSCF, 데이터를 즉시 맞춤형 IOC 쿼리로 패키징하여 선택한 환경의 중요 위협을 추적할 준비를 갖춥니다. 

MITRE ATT&CK 컨텍스트

MITRE ATT&CK 활용은 UAC-0050과 관련된 최근 공격 캠페인의 맥락에 대한 세부적인 통찰을 제공합니다. 아래 표를 참조하여 해당 ATT&CK 전술, 기술, 하위 기술을 설명하는 전용 Sigma 규칙의 포괄적인 세트를 확인하십시오.