Remcos RAT 및 Meduza Stealer 탐지: UAC-0050 그룹, 우크라이나와 폴란드의 국가 기관을 대상으로 대규모 피싱 공격 개시

피싱 캠페인 이후 일주일도 채 지나지 않아 UAC-0050이 Remcos RAT를 전파하는, 이 그룹은 또 다른 공격 작전을 시도했습니다. 새로 발견된 대규모 이메일 배포 캠페인에서 UAC-0050 해커들은 우크라이나와 폴란드 공공 부문을 표적으로 삼아 악명 높은 Remcos RAT와 Meduza Stealer로 불리는 또 다른 악성코드의 변종을 활용합니다.

UAC-0050 공격 설명: CERT-UA#8218 경보에서 다뤄진 활동

2023년 11월 7일, CERT-UA는 새로운 주의를 발표했습니다 대규모 피싱 공격을 다루며 UAC-0050 해킹 단체 법정 요구 및 부채 관련 유혹 주제를 가진 이메일을 확산하며, 암호로 보호된 RAR 첨부 파일과 함께 전송합니다. 이 무기화된 아카이브를 열면 타겟 시스템이 Remcos RAT 와 Meduza Stealer 감염에 취약해집니다. 또한 해커들은 AutoIt/Injector 악성코드를 활용했습니다. UAC-0050은 일반적으로 말레이시아 제공업체 Shinjiru의 서비스를 사용하여 Remcos RAT의 제어 서버를 호스팅합니다.

눈에 띄게, 해커들은 정부 ua 도메인 내의 정당한 타협 계정을 포함한 이메일 캠페인에 활용했습니다. 발견된 이메일은 우크라이나 공공 부문 외에도 폴란드 정부 기관을 공격 대상으로 지목하고 있습니다. 

가능한 완화 조치로 CERT-UA는 침입을 방지하기 위해 메일 게이트웨이 수준에서 비밀번호로 보호된 아카이브와 문서를 포함한 이메일 첨부 파일을 필터링할 것을 권장합니다. 

Remcos RAT와 Meduza Stealer를 전파하는 UAC-0050 침입 탐지

최근의 UAC-0050 피싱 캠페인은 그룹의 공격 범위를 확대하려는 야망을 나타냅니다. CERT-UA#8218 경보에서 다루어진 최신 대규모 사이버 공격은 우크라이나와 폴란드를 잠재적 침입 피해자로 식별합니다. SOC Prime Platform은 공공 부문을 포함한 여러 산업 부문의 조직이 공격이 닥치기 전에 이를 사전 방지하도록 지원합니다. 

UAC-0050 활동에서 Remcos RAT와 Meduza Stealer 악성코드를 배포하는 것에 대해 조직의 인프라를 보호하기 위해 “CERT-UA#8218” 태그로 필터링된 탐지 알고리즘의 큐레이션 리스트를 신뢰하십시오. 모든 관련 규칙과 쿼리에 대한 링크는 MITRE ATT&CK® 보다 빠른 공격 속성을 위한 것이며, 여러 사이버보안 언어로 변환 가능합니다:

CERT-UA#8218 경보에서 다루어지는 UAC-0050 공격을 탐지하기 위한 Sigma 규칙

클릭하여 탐지 탐색 UAC-0050로 귀속된 기존 및 신흥 공격에 대한 사전 방어를 위해 더 많은 탐지 알고리즘을 얻을 수 있습니다. 전체 규칙 세트는 CTI 연구원 및 SOC 분석가에게 심층적인 통찰과 사이버 위협 상황을 제공하는 관련 메타데이터로 강화되었습니다. 

탐지 탐색

그와 함께 Uncoder IO, 탐지 엔지니어링을 위한 오픈 소스 IDE로 수비수들은 최신 CERT-UA 연구로부터의 법의학 데이터를 사용하여 IOC 패키징을 최대한 활용할 수 있습니다. the latest CERT-UA research 선택한 환경에서 즉시 실행할 준비가 된 맞춤형 검색 쿼리를 생성합니다. 

MITRE ATT&CK 컨텍스트

CERT-UA#8218 최신 경보에서 다루어진 UAC-0050의 대규모 피싱 공격에 대한 통찰력 있는 배경 맥락을 파악하기 위해, 상기 참조된 모든 Sigma 규칙은 관련 전술, 기술 및 하위 기술을 다루는 ATT&CK로 태그되어 있습니다: