PicassoLoader 및 Cobalt Strike Beacon 탐지: UAC-0057, 일명 GhostWriter 해킹 그룹이 우크라이나 주요 군사 교육 기관을 공격

[post-views]
6월 16, 2023 · 3 분 읽기
PicassoLoader 및 Cobalt Strike Beacon 탐지: UAC-0057, 일명 GhostWriter 해킹 그룹이 우크라이나 주요 군사 교육 기관을 공격

2023년 6월 16일, CERT-UA 연구자들은 우크라이나의 주요 군사 교육 기관인 이반 체르냐코프스키 국립 방위 대학교를 대상으로 한 최근 발견된 악성 활동을 포함한 새로운 경고를 발표하였습니다. 이 진행 중인 캠페인에서, 위협 행위자들은 PicassoLoader와 Cobalt Strike Beacon 을 매크로가 포함된 악성 파일과 대학교 엠블럼이 있는 유혹 이미지로 손상된 시스템에서 전파하고 있습니다. 이 악성 활동은 UAC-0057로 추적되는 해킹 집단에 의해 발생한 것으로 보고됩니다, 또한 GhostWriter로도 알려져 있습니다.

UAC-0057, 일명 GhostWriter 공격 분석

2023년 여름의 시작은 사이버 위협 환경 내에서의 활동을 강화했습니다. 6월 초, CERT-UA는 전 세계 사이버 방어 커뮤니티에 우크라이나 및 중앙 아시아 조직을 겨냥한 UAC-0063 그룹과 관련된 지속적인 사이버 첩보 활동에 대해 경고했습니다. 6월 중순에는 또 하나의 사이버 공격 물결이 CERT-UA#6852 경고에 다루어진 사이버 위협 장면에 혼란을 일으켰습니다.  CERT-UA#6852 경고

사이버 보안 연구자들은 최근 우크라이나 이반 체르냐코프스키 국립 방위 대학교의 엠블럼 이미지가 포함된 매크로가 있는 악성 PPT 파일이 해당 교육 기관의 대표들을 문서 열기로 유인하고 있다는 것을 발견했습니다. 감염 체인은 문서를 열고 악성 매크로를 활성화함으로써 시작됩니다. 이는 DLL 파일을 생성하고 전자를 실행할 바로 가기 파일을 생성합니다. 악성 DLL 파일은 PicassoLoader 악성코드로 식별되며, 이는 GhostWriter로도 알려진 UAC-0057 해킹 그룹에 의해 일반적으로 사용됩니다. PicassoLoader는 .NET 악성코드 드롭퍼를 다운로드 및 실행하며, 이는 차례로 또 다른 DLL 파일을 해독하고 실행합니다. 후자는 손상된 시스템에서 악명 높은 Cobalt Strike Beacon 악성코드를 해독하고 실행하는 데 사용됩니다. 위협 행위자들은 예약된 작업을 통해 또는 자동 실행 폴더에 LNK 파일을 생성함으로써 앞서 언급한 DLL 파일의 지속성을 유지합니다. 

CERT-UA 연구에 따르면, 원격 액세스 서버는 러시아에 위치하고 있으나, 도메인 이름은 Cloudflare 기능을 통해 숨겨져 있습니다.

CERT-UA#6852 경고에서 다루어진 UAC-0057 그룹의 악성 활동 탐지

우크라이나와 그 동맹국에 대한 끊임없는 사이버 공격의 물결 앞에서 사이버 보안 수비수들은 관련 위험을 신속히 완화하고 인식을 높이기 위해 공동의 노력을 기울이고 있습니다. UAC-0057 해킹 그룹의 악성 활동에 대한 새로운 CERT-UA#6852 경고에 대한 대응으로 SOC Prime Platform은 아래 링크에서 이용할 수 있는 맞춤형 Sigma 규칙을 발표했습니다:

CERT-UA#6852 경고에서 다루어진 UAC-0057에 의한 적대적 활동을 탐지하기 위한 Sigma 규칙

탐지 알고리즘은 MITRE ATT&CK® 프레임워크 v12와 일치하며, 정보와 관련 메타데이터로 풍부해져 있으며, 수십 개의 SIEM, EDR, XDR 기술에 적용 가능합니다. 위에서 언급한 Sigma 규칙을 검색하기 위해 보안 엔지니어는 그룹 ID(UAC-0057) 또는 해당 CERT-UA 경고(CERT-UA#6852)에 기반한 맞춤형 필터 태그를 적용할 수 있습니다. 

GhostWriter 활동 탐지를 위한 Sigma 규칙 전체 모음을 보려면 아래의 탐지 탐색 버튼을 클릭하세요. 항상 정보를 유지하기 위해 ATT&CK 링크, CTI, 더 많은 사이버 위협 컨텍스트를 확인하십시오. 

탐지 탐색

사이버 보안 전문가들은 UAC-0057 적대적 활동과 관련된 지표를 원활하게 찾을 수 있으며, 최신 CERT-UA 연구에 제공됩니다. 다음을 신뢰하세요 Uncoder AI 는 선택한 SIEM 또는 EDR 환경에서 실행할 수 있는 맞춤형 IOC 쿼리를 즉시 생성하여 인프라에서 PicassoLoader 및 Cobalt Strike Beacon 감염을 적시에 식별할 수 있습니다. 

Uncoder AI를 사용하여 CERT-UA#6852 경고에 다루어진 IOC를 추적하십시오.

MITRE ATT&CK 컨텍스트

CERT-UA#6852 경고에서 보고된 최신 UAC-0057 악성 캠페인의 컨텍스트를 탐색하기 위해, 모든 지정된 Sigma 규칙은 해당하는 전술과 기술을 다루는 ATT&CK로 자동 태그가 부여됩니다:

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.
무료 가입하기 미팅 예약하기

관련 게시물

UAC-0099 공격 탐지: 해커들이 MATCHBOIL, MATCHWOK, DRAGSTARE 악성코드를 사용해 우크라이나 정부 및 방위 기관을 표적
블로그, 최신 위협 — 5 분 읽기
UAC-0099 공격 탐지: 해커들이 MATCHBOIL, MATCHWOK, DRAGSTARE 악성코드를 사용해 우크라이나 정부 및 방위 기관을 표적
Veronika Telychko
APT28(UAC-0001) 공격 탐지: 러시아 연계 그룹이 LLM 기반 LAMEHUG 악성코드로 보안 및 국방 부문 타깃
블로그, 최신 위협 — 4 분 읽기
APT28(UAC-0001) 공격 탐지: 러시아 연계 그룹이 LLM 기반 LAMEHUG 악성코드로 보안 및 국방 부문 타깃
Veronika Telychko
UAC-0001 (APT28) 공격 탐지: BEARDSHELL 및 COVENANT 악성코드를 이용한 러시아 정부 지원 그룹의 침해 활동
블로그, 최신 위협 — 5 분 읽기
UAC-0001 (APT28) 공격 탐지: BEARDSHELL 및 COVENANT 악성코드를 이용한 러시아 정부 지원 그룹의 침해 활동
Veronika Telychko