Remcos RAT 탐지: UAC-0050 해커가 우크라이나 보안 서비스를 사칭하여 피싱 공격을 시작

CERT-UA 연구원들은 최근 우크라이나를 대상으로 하는 피싱 공격을 다루며 배포 및 전개를 포함하는 새로운 경고를 발표했습니다. Remcos RAT. 이 공격 캠페인을 담당하고 있는 그룹은 우크라이나 보안 서비스를 가장하여 스푸핑 이메일을 대량으로 배포하는 것으로 추적되는 UAC-0050.

UAC-0050 공격 분석은 CERT-UA#8026 경고에서 다루어졌습니다.

2023년 11월 13일, CERT-UA는 보안 공지를 발표했습니다 새로운 피싱 캠페인을 공개하고 Remcos RAT UAC-0050 그룹에 의해 기인된 캠페인입니다. 이 그룹은 2023년 2월에 우크라이나 조직을 대상으로 하는 몇 차례의 피싱 공격의 배후로 여겨집니다. 두 번의 악성 작전 모두 Remcos 트로이 목마를 전파하며 피해자들이 무장된 이메일을 열도록 유인하기 위해 거짓 발신자 신원을 사용했습니다.

최신 캠페인에서는 공격자들이 우크라이나 보안 서비스를 가장하는 피싱 이메일을 활용하면서 유혹 RAR 파일을 포함하고 있습니다. 악성 이메일 내의 마지막 아카이브는 영향을 받은 인스턴스에 Remcos를 배포하게 하는 EXE 파일을 포함합니다. 공격자들은 OS 레지스트리의 Run 키에 항목을 생성하여 지속성을 유지합니다.

악성 코드 구성 파일에는 Shinjiru로 알려진 인기 있는 말레이시아 웹 호스팅 제공업체와 연결된 C2 서버의 8개 IP 주소가 포함되어 있습니다. 특히, 도메인 이름은 러시아 회사 REG.RU를 통해 등록되었습니다.

Remcos RAT를 사용하여 UAC-0050 최신 피싱 공격 탐지

2023년 동안 UAC-0050은 피싱 공격 벡터를 악용하고 Remcos 트로이 목마를 배포하는 일련의 공격을 우크라이나에 자행했으며, CERT-UA#8026 경고에서 다룬 최신 적대적 캠페인을 포함합니다. SOC Prime Platform은 기존 및 새로운 위협에 대한 탐지 알고리즘으로 방어자들을 무장시켜 조직이 사이버 회복성을 지속적으로 향상시킬 수 있도록 합니다. 아래 링크를 따라가 최신 CERT-UA 경고에 다룬 피싱 공격을 사전에 탐지하기 위해 “CERT-UA#8026” 맞춤 태그로 필터링 된 관련 Sigma 규칙을 얻으십시오.

CERT-UA#8026 경고에서 다루고 있는 UAC-0050 의해 수행된 공격 탐지를 위한 Sigma 규칙

우크라이나를 대상으로 하는 UAC-0050에 연결된 다른 공격들에 대한 SOC 콘텐츠의 전체 목록에 접근하려면, 탐지를 탐색하세요. 탐지 콘텐츠는 MITRE ATT&CK 프레임워크에 맵핑되었으며, CTI 및 관련 메타데이터로 강화되어 있어 여러 보안 분석 플랫폼에서 사용할 수 있으며, 여러 언어 형식 간의 간극을 메울 수 있습니다.

탐지를 탐색하세요

팀은 또한 파일, 호스트, 그리고 네트워크 CERT-UA에서 제공한 IOC 를 SOC Prime의 Detection Engineering을 위한 오픈소스 IDE를 사용하여 사냥할 수 있으며, 현재 IOC 패키징을 지원합니다. 시도해 보십시오 Uncoder IO 는 성능 최적화된 검색 쿼리를 자동으로 생성하고 즉시 SIEM 또는 EDR 환경에서 실행하여 위협 조사의 시간을 절약합니다.

MITRE ATT&CK 컨텍스트

MITRE ATT&CK을 활용하여 UAC-0050에 기인된 공격적 작전의 컨텍스트에 대한 세부 가시성을 제공합니다. 아래 표를 탐색하여 해당 ATT&CK 전술, 기술 및 하위 기술을 다루는 전용 Sigma 규칙의 전체 목록을 보십시오.