“Rogue RDP” 공격 탐지: UAC-0215가 RDP 구성 파일을 활용하여 우크라이나 공공 부문 컴퓨터에 원격 액세스를 획득

공격자들은 자주 원격 관리 도구를 공격 캠페인에서 활용하며, 예를 들어 Remote Utilities 소프트웨어를 우크라이나에 대한 사이버 공격에 사용하며, 특히 악명높은 UAC-0050 행위자와 관련된 것으로 알려져 있습니다. CERT-UA는 새로운 경고 를 발령하여 정부 기관 및 방위 산업 조직에 대한 지속적인 피싱 이메일 캠페인을 방어자들에게 경고했습니다. 이 피싱 이메일에는 원격 데스크톱 프로토콜(RDP) 구성 링크가 포함된 악성 첨부 파일이 있으며, 대상 네트워크에 원격 접근을 얻기 위한 수단입니다. 관련된 공격자 활동은 UAC-0215 해킹 그룹과 관련이 있으며 우크라이나를 넘어 지리적 범위를 확장할 가능성이 높습니다.

CERT-UA#11690 경고에 포함된 UAC-0215의 “Rogue RDP” 공격 탐지

공격자들은 지속적으로 우크라이나와 그 동맹에 대해 새로운 악성 접근 방법을 시험하며 공격 전술을 개선하고 있습니다. 공격의 범위와 정교함이 지속적으로 증가함에 따라, 사이버 방어자들은 가능한 침입을 초기에 대응할 수 있는 큐레이션된 탐지 콘텐츠를 갖추어야 합니다. 집단 사이버 방어를 위한 SOC Prime 플랫폼은 CERT-UA 경고에 언급된 사이버 공격을 방지하기 위해 보안 팀에게 광범위한 탐지 스택을 제공합니다.

클릭하세요 탐지 내용 탐색 를 통해 MITRE ATT&CK® 프레임워크에 매핑된 시그마 규칙의 전용 컬렉션을 확인할 수 있으며, 이를 맞춤형 인텔리전스로 강화하고 30개 이상의 SIEM, EDR, 데이터 레이크 언어 형식으로 변환 가능합니다.

탐지 내용 탐색

또한, 사이버 방어자들은 Uncoder AI 를 이용하여 CERT-UA#11690 경고에 제공된 UAC-0050 및 UAC-0006 활동과 관련된 파일, 네트워크, 호스트 IOC를 즉시 검색할 수 있습니다. Uncoder AI에 IOC를 붙여넣고 이를 성능 최적화된 사냥 쿼리로 자동 변환하여 선택한 환경에서 실행할 준비를 합니다.

“Rogue RDP” 공격 분석

2024년 10월 22일, CERT-UA팀은 정부 당국, 주요 산업체, 군 부대를 대상으로 한 대규모 피싱 이메일 배포에 대한 정보를 접수했습니다. 이는 최근의 CERT-UA#11690 경고에 포함된 내용입니다. 이러한 이메일은 아마존 및 마이크로소프트 서비스와의 “통합”과 “제로 트러스트 아키텍처”(ZTA) 구현 등의 유인 주제를 포함하고 있었습니다.

위에 언급된 피싱 이메일에는 첨부 파일로 .rdp 확장자를 가진 구성 파일이 포함되어 있었습니다. 실행될 경우, 이러한 파일은 공격자 서버로의 아웃 바운드 RDP 연결을 시작합니다. RDP 파일의 매개 변수에 기반하여 설정된 RDP 연결은 로컬 디스크, 네트워크 리소스, 프린터, COM 포트, 오디오 장치 및 클립보드에 대한 접근을 부여할 뿐만 아니라 타사 소프트웨어나 스크립트를 손상된 컴퓨터에서 실행할 수 있는 기술적 조건을 조성할 수 있습니다.

CERT-UA 연구자들은 현재 UAC-0215 해킹 그룹에 귀속된 악성 활동이 다른 국가의 관련 기관으로부터의 정보에 기반하여 넓은 지리적 범위를 포괄한다고 추정합니다.

연구에 따르면 지속적인 공격자 작업을 위한 인프라는 최소한 2024년 8월부터 준비되었습니다. “Rogue RDP” 공격의 위험을 완화하기 위해 CERT-UA는 이메일 게이트웨이에서 “.rdp” 파일을 차단하고, 사용자가 이러한 파일을 실행하지 못하도록 제한하며, mstsc.exe가 인터넷 자원으로 RDP 연결을 만들지 못하도록 방화벽을 구성하고, RDP를 통한 리소스 리디렉션을 비활성화하는 그룹 정책을 설정하는 등의 조치를 제안합니다.

에 의존하여 SOC Prime의 완전한 제품군 은 AI 기반 탐지 엔지니어링, 자동화된 위협 사냥 및 고급 위협 탐지를 통해 다양한 산업 분야의 세계 기업들이 현대 사이버 보안 문제에 효과적으로 대응하고, 팀과 보안 도구를 통해 공격 표면을 줄일 수 있도록 지원합니다.

MITRE ATT&CK 컨텍스트

MITRE ATT&CK을 활용하면 UAC-0215 식별자로 추적되고 CERT-UA#11690 경고에 포함된 현재 악성 캠페인의 컨텍스트에 대한 심층 통찰을 얻습니다. 아래 표를 탐색하여 관련 ATT&CK 전술, 기술, 하위 기술에 해당하는 전용 시그마 규칙의 전체 목록을 확인하십시오.