RomCom 백도어 탐지: 쿠바 랜섬웨어 운영자, 일명 트로피컬 스코피우스(UNC2596) 그룹에 의한 우크라이나 국영 기관 사이버 공격

[post-views]
10월 24, 2022 · 3 분 읽기
RomCom 백도어 탐지: 쿠바 랜섬웨어 운영자, 일명 트로피컬 스코피우스(UNC2596) 그룹에 의한 우크라이나 국영 기관 사이버 공격

2022년 5월, Cuba 랜섬웨어 운영자들은 새로운 맞춤형 원격 액세스 트로이 목마 ROMCOM(RomCom) RAT을 활용하여 사이버 위협 분야에 시끄럽게 입성하며 다시 등장했습니다.

2010년 10월 22일, CERT-UA는 우크라이나 군 참모부로 가장한 발신자로 우크라이나 관계자들을 대상으로 하는 피싱 캠페인에 대해 글로벌 사이버 방어 커뮤니티에 경고했습니다. 피싱 이메일에는 감염 체인을 유발하고 감염된 시스템에 RomCom 백도어를 배포하는 유인 첨부 파일을 다운로드하라는 외부 웹 리소스 링크가 포함되어 있습니다. 위에 언급된 RomCom 백도어와 같은 일반적인 적 기법과 도구를 사용한 특정 행동 패턴에 따르면, 이 악의적 활동은 또한 Cuba Ransomware의 배포로 알려진 Tropical Scorpius 또는 UNC2596 그룹에 기인할 수 있습니다.

Tropical Scorpius aka UNC2596/UAC-0132 악성 활동: CERT-UA#5509 경고로 다루어진 사이버 공격 분석

2022년 5월부터 새로운 Cuba 랜섬웨어를 배포하는 적대 캠페인이 Tropical Scorpius 해킹 집단과 연결된 표적 공격으로 사이버 위협 분야에서 주목을 받았습니다(Unit42 명명 체계에 따르면). 이러한 공격에서 악명 높은 Cuba 랜섬웨어 운영자들은 신규 TTP와 더 발전된 적 기법을 포함하여 새로운 멀웨어 패밀리 ROMCOM(RomCom) RAT을 활용하고 ZeroLogon 도구를 무기화하여 CVE-2020-1472 취약점을 악용하였습니다.

Cuba 랜섬웨어 운영자는 Mandiant에 의해 UNC2596로 식별되어 2019년부터 주목받고 있습니다. 2021년에 그룹은 DarkSide 및 Ryuk을 포함한 다른 악명 높은 RaaS 운영자들과 함께 적대 캠페인에서 SystemBC 멀웨어를 퍼뜨리며 다시 등장했습니다. 

CERT-UA 팀은 최근 CERT-UA#5509 경고 를 발행하여 우크라이나 정부 기관을 대상으로 하는 피싱 이메일을 통한 지속적인 사이버 공격에 대해 경고했습니다. 감염 체인은 악성 첨부 파일이 포함된 외부 웹페이지로의 링크를 따라가면서 시작됩니다. 웹페이지에는 타겟을 PDF 리더 소프트웨어를 업그레이드하도록 유도하는 알림이 포함되어 있습니다. 가짜 소프트웨어 업데이트 버튼을 클릭하면 시스템은 실행 파일을 다운로드하여 RomCom 백도어로 식별된 악성 “rmtpak.dll” 파일을 디코딩하고 실행하게 됩니다. 

적 행동 패턴 분석에 따르면 이 악성 활동은 CERT-UA에 의해 Tropical Scorpius 또는 UNC2596, UAC-0132로 추적된 Cuba 랜섬웨어 운영자에게 기인할 수 있습니다. 

UAC-0132에 의해 퍼진 RomCom 백도어 탐지 및 Cuba 랜섬웨어 운영자와 연결됨

Tropical Scorpius 또는 UNC2596에 의한 우크라이나 국가 기관을 대상으로 하는 지속적인 공격은 이 악명 높은 해킹 집단의 적대 캠페인이 여전히 중대한 위협이라는 것을 보여줍니다. 풍부한 고급 도구와 복잡한 적 기법과 결합하여 그룹의 악성 활동은 사이버 방어자들의 초고속 대응을 요구합니다. Cuba 랜섬웨어 배포도 관련이 있는 위협 행위자들의 최근 공격에서 사용된 RomCom 백도어의 악성 존재를 신속히 식별하도록 돕기 위해, SOC Prime Platform은 관련된 Sigma 규칙집합을 릴리스했습니다. 모든 탐지 콘텐츠는 그룹의 식별자 “UAC-0132” 및 “CERT-UA#5509” 기반의 두 개의 사용자 정의 태그를 통해 간소화된 검색이 가능합니다. 

Click the 탐지 탐색 버튼을 클릭하여 UAC-0132 악성 활동의 사전 탐지를 위한 Sigma 규칙을 획득하십시오. 모든 탐지 알고리즘은 MITRE ATT&CK®에 맞춰져 있으며, 관련 CTI 링크, 완화, 실행 파일 및 더 실행 가능한 메타데이터를 포함한 포괄적인 사이버 위협 컨텍스트로 강화되어 있습니다. Sigma 규칙과 함께 팀은 업계 선두의 SIEM, EDR, XDR 솔루션을 위해 규칙 번역을 즉시 활용할 수 있습니다.

탐지 탐색

또한, 사이버 보안 전문가들은 CERT-UA#5509 경고에 다루어진 UAC-0132 위협 행위자와 관련된 악성 활동의 IOC를 검색할 수 있습니다. 이들은 Uncoder CTI를 활용하여 선택한 SIEM 또는 XDR 환경에서 즉시 실행할 수 있는 사용자 정의 IOC 쿼리를 생성할 수 있습니다.

CERT-UA#5509 경고에 다루어진 IOC

MITRE ATT&CK® 컨텍스트

RomCom 백도어를 사용하여 우크라이나 국가 기관을 대상으로 하는 Tropical Scorpius 또는 UNC2596 위협 행위자(UAC-0132)의 악성 활동과 관련한 MITRE ATT&CK 컨텍스트를 깊이 있게 살펴보려면 아래 표를 참조하십시오. 위에 언급된 탐지 스택 내의 모든 Sigma 규칙은 MITRE ATT&CK® 프레임워크 에 맞춰져 대응하는 전술과 기술을 다루고 있습니다:MITRE ATT&CK® 컨텍스트

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.
무료 가입하기 미팅 예약하기

관련 게시물

Koske 악성코드 탐지: AI로 생성된 새로운 리눅스 위협 5 분 읽기 최신 위협 Koske 악성코드 탐지: AI로 생성된 새로운 리눅스 위협 by Veronika Telychko AI 위협 인텔리전스 10 분 읽기 SIEM & EDR AI 위협 인텔리전스 by Veronika Telychko 사이버락, Lucky_Gh0$t 및 Numero 탐지: 해커들이 가짜 AI 도구 설치 프로그램을 랜섬웨어 및 멀웨어 공격에 무기로 사용 4 분 읽기 최신 위협 사이버락, Lucky_Gh0$t 및 Numero 탐지: 해커들이 가짜 AI 도구 설치 프로그램을 랜섬웨어 및 멀웨어 공격에 무기로 사용 by Veronika Telychko
모든 뉴스