원격 유틸리티 악용: 우크라이나 기관을 목표로 한 UAC-0096 그룹의 새로운 피싱 캠페인

[post-views]
2월 14, 2023 · 3 분 읽기
원격 유틸리티 악용: 우크라이나 기관을 목표로 한 UAC-0096 그룹의 새로운 피싱 캠페인

최근 우크라이나 국가 기관을 겨냥한 대규모 악성 이메일 배포에 이어 Remcos (원격 제어 및 감시) 트로이 목마로, 위협 행위자들은 우크라이나 조직을 공격하기 위해 Remote Utilities라는 또 다른 원격 관리 소프트웨어를 악용합니다. CERT-UA 는 UAC-0096 해킹 그룹에 의해 발생한 피싱 공격의 지속에 대해 전 세계 사이버 방어 공동체에 경고합니다.

Remote Utilities를 활용한 UAC-0096 해커들의 최신 피싱 공격 분석

2월 13일, CERT-UA 연구원들은 새로운 CERT-UA#5961 경고 를 공개하였으며, 이 경고는 우크라이나 국가 안보 방위 이사회를 사칭한 대규모 이메일 배포에 관한 세부 정보를 포함하고 있습니다. 이 진행 중인 악성 캠페인에서 위협 행위자들은 Remote Utilities라는 합법적인 원격 관리 소프트웨어를 통해 우크라이나 조직을 대상으로 피싱 공격 벡터를 악용하고 있습니다. 

이 피싱 캠페인 몇 일 전, CERT-UA 연구원들은 다른 원격 관리 도구로 알려진 Remcos RAT을 활용하여 우크라이나 국가 기관을 겨냥한 또 다른 악성 활동을 발견했습니다. 특히, 이전의 적대적 활동은 전 아유익이 Remote Utilities 소프트웨어를 사용했던 UAC-0050 해킹 그룹에 의해 수행된 것으로 추정됩니다. 

진행 중인 우크라이나 대상 피싱 공격에서는 중요한 보안 업데이트와 관련된 내용의 미끼 이메일 제목과 가짜 업데이트의 세부 정보를 포함한 악성 RAR 첨부 파일을 사용합니다. RAR 파일에는 가짜 지침을 포함한 이미지 미끼와 실행 파일을 숨기는 분할 아카이브가 포함되어 있습니다. 후자를 실행하면 감염된 사용자는 해커들이 악의적인 활동을 위해 추가적으로 활용할 수 있는 Remote Utilities 소프트웨어를 컴퓨터에 설치하게 됩니다. 관찰된 적대적 행동 패턴은 UAC-0096 해킹 그룹의 활동에 기인한 것입니다. 

CERT-UA#5961 경고에 다뤄진 UAC-0096 악성 활동 감지

러시아의 우크라이나에 대한 전면 침공 이후사이버 방어 전문가들은 다양한 산업 부문에 속한 우크라이나 국가 기관 및 조직을 대상으로 증가하는 피싱 공격을 관찰하고 있습니다. SOC Prime은 우크라이나와 그 동맹국들이 어느 정도의 러시아 관련 공격에 대해 적극적으로 방어하고 적대적 전술, 기술 및 절차(TTP)를 감지할 수 있도록 사이버 최전선에서 지원해왔습니다. SOC Prime의 Detection as Code 플랫폼은 UAC-0096 해킹 그룹의 악성 활동을 시기적절하게 식별하도록 돕기 위해 최신 CERT-UA 경고에 다뤄진 공격자의 TTP 목록에 대해 안내된 커스텀 Sigma 룰 목록에 대한 접근을 제공합니다. 모든 탐지는 SIEM, EDR, XDR 솔루션 전반에 걸쳐 사용 가능하여 팀이 SIEM 마이그레이션 및 시간 소모적인 수동 튜닝의 문제를 해결할 수 있도록 돕습니다. 

아래의 탐지 항목 탐색 버튼을 클릭하여 관련 사이버 위협 컨텍스트를 포함한 전용 고품질 경고 및 사냥 쿼리로 이동하세요. 여기에는 MITRE ATT&CK® 참조 및 CTI 링크가 포함되어 있습니다. 전용 Sigma 룰 검색을 단순화하기 위해 SOC Prime 플랫폼은 경고 및 그룹 식별자에 기반한 ‘CERT-UA#5961’ 및 ‘UAC-0096’의 사용자 정의 태그별로 필터링을 지원합니다. 사용자의 편의를 위해 이러한 태그 중 어느 것이든 관련 탐지 컨텐츠 탐색에 사용할 수 있습니다.

탐지 항목 탐색

보안 엔지니어는 또한 새 버전의 Uncoder.IO 도구를 활용하여 UAC-0096의 악성 활동과 관련된 침해 지표(IOC)를 자동으로 검색할 수 있습니다. 이 도구는 현재 여러 SIEM 및 XDR 플랫폼에 대한 IOC 변환을 지원합니다. 파일, 호스트 또는 네트워크 CERT-UA가 제공한 IOCs 을 UI에 붙여 넣고, 대상 쿼리의 컨텐츠 유형을 선택하여 선택한 환경에서 실행을 준비하는 성능 최적화된 IOC 쿼리를 즉시 생성하세요. Uncoder.IO는 인증 없이 개인 정보를 염두에 두고 개발된 무료 프로젝트입니다 — 로그 수집 없이 모든 데이터는 사용자의 안심을 위해 세션 기반으로 유지됩니다.

CERT-UA#5961 경고에 다뤄진 IOCs를 기반으로 Uncoder.IO를 통한 IOC 쿼리 생성

MITRE ATT&CK 컨텍스트

2월 최신 CERT-UA 경고에 다뤄진 UAC-0096 해킹 그룹의 악성 캠페인 이면의 심층 컨텍스트를 탐색하기 위해, 위에 참조된 모든 Sigma 룰은 관련 전술 및 기술에 대응하는 ATT&CK v12 태그가 부여되어 있습니다: 

조직의 사이버 보안 태세를 강화하기 위한 더 많은 큐레이션된 룰 및 쿼리를 찾으십니까? SOC Prime의 Sigma 룰 검색 엔진을 탐색하여 공격 탐지를 위한 관련 Sigma 룰을 확보하십시오 Remote Utilities를 악용 하고 팀이 항상 선제적인 사이버 방어 역량을 갖추고 있는지 확인하세요. 

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.
무료 가입하기 미팅 예약하기

관련 게시물

AI 위협 인텔리전스 10 분 읽기 SIEM & EDR AI 위협 인텔리전스 by Veronika Telychko API를 통한 Uncoder AI 기능 접근 1 분 읽기 SOC Prime 플랫폼 API를 통한 Uncoder AI 기능 접근 by Steven Edwards Uncoder AI에서 위협 탐지 마켓플레이스 검색하기 2 분 읽기 SOC Prime 플랫폼 Uncoder AI에서 위협 탐지 마켓플레이스 검색하기 by Steven Edwards
모든 뉴스