PicassoLoader and njRAT Detection: UAC-0057 Hackers Perform a Targeted Attack Against Ukrainian Public Entities

사이버 보안 연구자들은 악성 매크로가 포함된 XLS 파일을 활용하여 우크라이나 공무원들을 대상으로 한 UAC-0057 그룹의 새로운 표적 사이버 공격을 경고합니다. PicassoLoader 악성 소프트웨어. 이 악성 로더는 추가로 다른 악성 코드 스트레인을 투하할 수 있으며, 이는 njRAT 로 감염을 더욱 확산합니다.

UAC-0057 해커에 의한 PicassoLoader 및 njRAT 악성 소프트웨어 배포: 공격 설명

2023년 7월 7일, CERT-UA 연구원들은 정상 매크로를 포함한 XLS 문서 한 쌍을 발견했으며, 다른 하나는 해커들이 초기 공격 단계에서 사용한 악성 매크로를 포함하고 있었습니다. 후자는 목표 시스템에 네파리어스 PicassoLoader 악성 소프트웨어를 유지하면서 디코딩하고, 해독하고, 영속성을 유지하며 실행하려고 했습니다. 공격자들은 또한 PicassoLoader를 활용하여 njRAT 원격 접근 유틸리티를 다운로드, 해독 및 실행했습니다..

최근의 공격은 UAC-0057 그룹으로 연결될 수 있으며 하늘이 June의 한 우크라이나 대학에 대한 적대적 캠페인을 사용하여 PicassoLoader와 Cobalt Strike Beacon Cobalt Strike Beacon을 전파한 것으로 확인되었습니다. 해당 CERT-UA#6948 경고에 다뤄진 현재의 공격 작전에서 또한, UAC-0057 공격자들은 우크라이나 공공 기관을 대상으로 합니다.

조사 결과, PicassoLoader 악성 소프트웨어는 Avast, FireEye 및 Fortinet 제품의 보안 보호가 있는 시스템에서는 해커에 의해 배포되지 않는 것으로 밝혀졌습니다.

PicassoLoader 및 njRAT를 활용한 UAC-0057 공격 탐지

보안 팀이 우크라이나에 대한 최신 UAC-0057 사이버 공격을 적극적으로 감지하기 위한 관련 탐지 알고리즘을 장착하기 위해, SOC 프라임 플랫폼은 집단 사이버 방어를 위한 Sigma 규칙을 집계합니다. 사용자는 아래 탐지 검색 버튼을 누르거나 보안 허드업 및 위협 행위자의 식별자와 관련된 사용자 정의 태그 “CERT-UA#6948” 및 “UAC-0057”을 적용하여 이 위협 감지 스택을 획득할 수 있습니다.

모든 규칙은 MITRE ATT&CK® 프레임워크 v12에 매핑되어 있으며, 광범위한 위협 인텔 및 28개 이상의 SIEM, EDR, XDR 기술과 호환되어 특정 조직의 사이버 보안 요구 사항에 부합합니다.

탐지 검색

간소화된 검색을 위해 팀은 Uncoder AI의 도움을 받아 UAC-0057 집단과 관련된 IOCs를 검색할 수 있습니다. 최신 경고에서 CERT-UA가 나열한 IOCs를 Uncoder AI에 복사-붙여넣기하고 대상 콘텐츠 유형을 선택하여 기술 스택 및 현재 보안 요구에 맞는 사용자 정의 IOC 쿼리를 매끄럽게 작성하세요. into Uncoder AI and choose the targeted content type to seamlessly build a custom IOC query matching your technology stack and current security needs.

MITRE ATT&CK 컨텍스트

CERT-UA#6948 경고에서 다뤄진 최신 UAC-0057 작전과 관련된 더 넓은 컨텍스트를 검토하기 위해, 모든 관련 Sigma 규칙은 관련 적대적 TTP를 다루는 ATT&CK v12에 정렬되어 있습니다: