러시아 연계 APT28 (UAC-0028) 위협 행위자, 우크라이나에 대한 피싱 공격에서 CredoMap_v2 멀웨어 확산

[post-views]
5월 09, 2022 · 3 분 읽기
러시아 연계 APT28 (UAC-0028) 위협 행위자, 우크라이나에 대한 피싱 공격에서 CredoMap_v2 멀웨어 확산

지속 중인 사이버 전쟁 동안 러시아 연계 해킹 단체들은 사이버 분야에서 우크라이나 조직을 마비시키기 위한 새로운 방법을 찾고 있습니다. 2022년 5월 6일, CERT-UA는또 다른 피싱 공격으로 우크라이나 정부 기관을 겨냥하고 있다는 경고를 발령했습니다. 이번 사이버 공격은 악명 높은 러시아 국가 후원 APT28으로 식별된 위협 행위자들의 악의적인 활동으로 귀속되었습니다 (이명 팬시 베어 APT)로 추적된 UAC-0028로도 알려져 있습니다.  APT28 사이버 공격 분석 가장 최근의 사이버 공격은 CERT-UA의 보안 경고로 위장한 이메일 스푸핑을 포함합니다. 적들은 피해자에게 이메일에 첨부된 악성 암호 보호 RAR 아카이브를 열도록 속이는 것을 목표로 했습니다. 열었을 때, 후자는 SFX 파일이 포함되어 악성 소프트웨어 CredoMap_v2(정보 탈취자의 업데이트 버전)를 배포했습니다. 사용된 악성 코드는 데이터 유출에 HTTP 프로토콜을 적용하여, 오픈 소스 Pipedream 플랫폼에 배포된 웹 리소스로 도난된 자격 증명을 전송할 수 있습니다.

우크라이나 국가 특별 통신 및 정보 보호 서비스(SSSCIP)에 따르면,

APT28/UAC-0028 해킹 그룹은 2022년 3월 우크라이나의 중요 인프라에 대한 일련의 사이버 공격의 배후로도 확인되었습니다.  

기타 APT28 해킹 그룹의 사이버 공격에서, 위협 행위자들은 유럽 정부 기관 및 군사 기관을 겨냥하는 것으로 관찰되었습니다. 그들은 악성 매크로를 활성화한 후 악성 코드를 드롭하는 피싱 이메일을 포함한 유사한 공격 벡터를 적용했습니다. 이전에 공격자들은

족즈 트로이목마와 캐논 맬웨어 European government entities and military institutions를 악용하여 Lion Air Boeing 737의 참사와 관련된 트렌딩 주제를 피싱 유인책으로 사용한 이메일을 통해 배포하는 사이버 스파이 작전을 벌이는 것으로 확인되었습니다. 악성 소프트웨어에 의해 확산되는 감염 위험을 최소화하기 위해, CERT-UA는 암호로 보호된 첨부 파일과 피해자를 파일을 열도록 유도하기 위한 가장 최신 및 뉴스 가치가 있는 주제와 관련된 이메일을 주의 깊게 감시할 것을 강력히 권장합니다. 조직은 해당 운영 체제 설정 및 보안 조치를 통해 EXE 파일 차단을 가능하게 하는 소프트웨어 제한 정책을 적용해야 합니다. 

CredoMap_v2 맬웨어를 활용한 APT28(UAC-0028) 공격 탐지용 시그마 규칙 APT28의 악의적인 활동을 사전에 탐지하기 위해, 최신 CredoMap_v2 캠페인을 포함하여 SOC Prime 팀은 전용 시그마 규칙 세트를 개발했습니다:  UAC-0028의 악의적인 활동을 탐지하기 위한 시그마 규칙

최근의 APT28 캠페인과 관련된 모든 콘텐츠를 얻거나 #UAC-0028 태그를 활용하여 다른 관련 탐지를 확인하기 위해 SOC Prime의 Detection as Code 플랫폼에 가입하십시오.

탐지 엔지니어는 전용

플랫폼의 Quick Hunt 모듈로 주목받고 있는 UAC-0028의 악성 활동과 관련된 위협을 쉽게 사냥할 수 있습니다.

MITRE ATT&CK® 컨텍스트: APT28 피싱 공격

우크라이나를 겨냥한 APT28/UAC-0028의 가장 최근의 피싱 사이버 공격에 대한 심층적인 컨텍스트를 위해, 위에서 참조된 탐지 알고리즘이 적절한 전술과 기술을 다루는 MITRE ATT&CK 프레임워크와 일치합니다: Quick Hunt module of the platform.

MITRE ATT&CK® Context: APT28 Phishing Attack

For an in-depth context behind the most recent phishing cyber-attack by APT28/UAC-0028 targeting Ukraine, the above-referenced detection algorithms are aligned with the MITRE ATT&CK framework addressing the appropriate tactics and techniques:

 

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.
무료 가입하기 미팅 예약하기

관련 게시물

Uncoder AI의 맞춤형 AI prompting, 주문형 탐지 생성 가능 2 분 읽기 SOC Prime 플랫폼 Uncoder AI의 맞춤형 AI prompting, 주문형 탐지 생성 가능 by Steven Edwards XE 그룹 활동 탐지: 신용카드 스키밍에서 CVE-2024-57968 및 CVE-2025-25181 VeraCore 제로데이 취약점 악용까지 3 분 읽기 최신 위협 XE 그룹 활동 탐지: 신용카드 스키밍에서 CVE-2024-57968 및 CVE-2025-25181 VeraCore 제로데이 취약점 악용까지 by Veronika Telychko CVE-2025-0411 탐지: 러시아 사이버 범죄 조직, 우크라이나 조직을 표적으로 삼아 7-Zip의 제로데이 취약점 악용 4 분 읽기 최신 위협 CVE-2025-0411 탐지: 러시아 사이버 범죄 조직, 우크라이나 조직을 표적으로 삼아 7-Zip의 제로데이 취약점 악용 by Veronika Telychko
모든 뉴스