Remcos 맬웨어 탐지: UAC-0050 그룹, 원격 액세스 소프트웨어를 사용한 피싱 공격으로 우크라이나 정부 기관을 표적으로 삼다  

[post-views]
2월 07, 2023 · 3 분 읽기
Remcos 맬웨어 탐지: UAC-0050 그룹, 원격 액세스 소프트웨어를 사용한 피싱 공격으로 우크라이나 정부 기관을 표적으로 삼다  

Remcos 트로이목마 (원격 제어 및 감시)는 피싱 공격 벡터를 활용하는 위협 행위자에 의해 자주 전파됩니다. 이 악성코드는 현재 우크라이나 정부 기관을 표적으로 하여 사이버 위협 영역에 재등장하고 있습니다. 

2023년 2월 6일, 사이버보안 연구원들은 새로운 CERT-UA#5926 경고 를 발표하여 Remcos 악성코드를 전파하기 위해 Ukrtelecom JSC를 사칭하는 대량 이메일 유포를 상세히 설명했습니다. 공격자는 우크라이나 국가 기관을 표적으로 한 피싱 이메일에 악성 RAR 첨부파일을 활용했습니다. 조사에 따르면, 이 적대적 활동은 UAC-0050으로 추적된 해킹 집단에 의해 행해졌습니다. 

Remcos 악성코드를 전파하는 UAC-0050의 악성 활동: 공격 분석

Remcos는 BreakingSecurity에서 개발한 원격 액세스 소프트웨어입니다. 설치되면 이 도구는 타겟 시스템에 백도어를 열어 원격 사용자가 완전한 액세스를 할 수 있게 합니다. 2020년 이후, 공격자들은 COVID-19 주제를 악용하여 Remcos RAT 를 피싱 공격에 적극 활용했습니다. 악성코드 운영자는 Remcos를 사용하여 피해자들을 감시하고, 신원 탈취, 데이터 유출, 명령 실행 등을 위해 여러 TTP를 악용합니다.  

최신 CERT-UA#5926 경고 은 Remcos 악성코드를 활용한 신규 관찰된 악성 활동에 대해 사이버 방어자에게 경고합니다. 이러한 공격에서 위협 행위자는 피싱 공격 벡터를 악용하여 Ukrtelecom JSC로 발신자를 가장한 이메일을 전파합니다. 적들은 요구서 제목과 금융 결제 세부사항을 사칭하는 RAR 아카이브 첨부파일이 포함된 이메일을 열도록 유혹하는 것을 목표로 합니다. 유혹 아카이브에는 개인 접근 코드를 포함한 텍스트 파일과 또 다른 암호화된 RAR 파일이 포함되어 있습니다. 후자는 피해자의 컴퓨터에 원격 관리 Remcos 악성코드를 설치하는 실행 파일을 포함하고 있습니다.  

CERT-UA 연구원들은 이 악성 활동을 적어도 2020년 이후로 주목받고 있는 UAC-0050 해킹 집단과 연결했습니다. 연구에 따르면, 위협 행위자는 Remcos RAT 외에도 RemoteUtilities라는 다른 원격 관리 소프트웨어를 활용한 이전 공격을 시작했습니다. 관찰된 적대적 행동 패턴과 악성코드 공격 능력에 기반하여, 우크라이나 국가 기관을 표적으로 한 지속적인 공격은 사이버 간첩 작전과 연결될 가능성이 높습니다.    

CERT-UA#5926 경고에 설명된 우크라이나 국가 기관에 대한 UAC-0050의 사이버 공격 탐지

계속 증가하는 피싱 사이버 공격의 양과 함께, 방어자들은 감염을 적시에 식별하기 위한 능력을 강화하는 데 노력하고 있습니다. SOC Prime은 조직이 여러 종류의 악성코드를 활용하여 어느 규모의 사이버 공격에도 선제적으로 방어할 수 있도록 지원합니다. SOC Prime의 Detection as Code 플랫폼은 진행 중인 피싱 공격에서 사용되고 UAC-0050 해킹 그룹의 적대적 활동에 귀속된 Remcos 악성코드 탐지를 위한 시그마 규칙을 큐레이션합니다. 원활한 콘텐츠 검색을 위해 모든 탐지 알고리즘은 해당 그룹 및 CERT-UA 경고 ID에 따라 적절한 사용자 정의 태그(“UAC-0050” 또는 “CERT-UA#5926”)로 필터링됩니다.

클릭하여 탐지 항목 탐색 버튼을 눌러 CERT-UA#5926 경고에 설명된 전용 시그마 규칙을 즉시 확인하십시오. 모든 탐지 항목은 업계 선도적인 SIEM, EDR, BDP, 그리고 XDR 솔루션에 배포할 준비가 되어 있으며, MITRE ATT&CK® 참조, CTI 링크, 실행 파일, 운영 메타데이터와 같은 심층 사이버 위협 컨텍스트로 보강되어 있습니다.

탐지 항목 탐색

또한 보안 엔지니어는 Uncoder CTI 도구를 활용하여 UAC-0050의 악성 활동과 관련된 침해 지표를 탐색하는 과정을 간소화할 수 있습니다. 파일, 호스트 또는 네트워크 CERT-UA에서 제공된 IOC 를 UI에 붙여 넣으면 선택한 환경에서 Remcos 관련 위협을 검색할 수 있는 맞춤형 헌팅 쿼리가 즉시 생성됩니다.

Uncoder CTI: CERT-UA#5926 경고에서 IOCs 사용

MITRE ATT&CK 컨텍스트

최신 CERT-UA 경고에 포괄된 UAC-0050 그룹의 적대적 캠페인 뒤의 포괄적 컨텍스트를 파악하기 위해, 위에서 언급된 모든 시그마 규칙은 해당 전술 및 테크닉을 다루는 ATT&CK v12 태그가 붙어 있습니다: 

Remcos 악성코드에 대한 전체 탐지 스택을 확인하려면 SOC Prime의 Sigma 규칙 검색 엔진을 탐색하십시오 그리고 현재 및 신흥 위협에 대해 이전보다 빠르게 배우고, 몇 분 안에 우선 순위를 정하고, 탐지 코드를 즉시 배포하십시오.  

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.
무료 가입하기 미팅 예약하기

관련 게시물

Koske 악성코드 탐지: AI로 생성된 새로운 리눅스 위협 5 분 읽기 최신 위협 Koske 악성코드 탐지: AI로 생성된 새로운 리눅스 위협 by Veronika Telychko AI 위협 인텔리전스 10 분 읽기 SIEM & EDR AI 위협 인텔리전스 by Veronika Telychko 사이버락, Lucky_Gh0$t 및 Numero 탐지: 해커들이 가짜 AI 도구 설치 프로그램을 랜섬웨어 및 멀웨어 공격에 무기로 사용 4 분 읽기 최신 위협 사이버락, Lucky_Gh0$t 및 Numero 탐지: 해커들이 가짜 AI 도구 설치 프로그램을 랜섬웨어 및 멀웨어 공격에 무기로 사용 by Veronika Telychko
모든 뉴스