러시아 국가 지원 Hive0051(aka UAC-0010, Gamaredon) 공격 탐지: 공격자들이 세 가지 악성코드 분기를 활용한 공격적인 감염 접근 방식 적용

국가 후원을 받는 러시아 연계 Gamaredon (Hive0051, UAC-0010, Armageddon APT로도 알려진) 해킹 그룹이 새로운 사이버 공격을 개시하며 주목받고 있습니다. 적들은 Gamma 멀웨어의 새로운 버전을 활용하고, DNS 플럭스를 채택하여 악성 변종을 투하하여 하루 1,000건 이상의 감염을 초래하고 있습니다. 감염 체인은 신속하게 여러 독립적인 멀웨어 브랜치를 배포하기 위한 참신하고 공격적인 다층의 적대적 접근 방식을 보여줍니다.

Hive0051 (일명 UAC-0010, Gamaredon APT)의 최신 공격 탐지

Hive0051, 즉 Gamaredon으로도 알려진 UAC-0010은 국제 사이버 분야에서 가장 두드러진 러시아 지원 공격 위협 그룹 중 하나로 남아 있으며, 특히 우크라이나 사이버 전선에서 활발히 활동하고 있습니다. 특히, 우크라이나 조직에 대한 악의적인 방법이 체계적으로 다듬어지고 모스크바 정부의 관심을 끄는 국제적인 타겟으로 확장되고 있습니다.

조직이 Hive0051의 최신 공격과 관련된 악성 활동을 식별할 수 있도록 지원하기 위해, 집단 사이버 방어를 위한 SOC Prime 플랫폼은 관련 적대자의 TTP를 다루는 엄선된 탐지 콘텐츠 세트를 제공합니다. 모든 규칙은 28개의 SIEM, EDR, 데이터 레이크 솔루션과 호환되며, MITRE ATT&CK® 프레임워크에 매핑되고 위협 조사를 원활하게 하기 위해 방대한 위협 인텔리전스로 보강되어 있습니다. 아래 탐지 탐색 버튼을 클릭하여 관련 탐지 스택으로 바로 들어가세요.

탐지 탐색

또한, 조사를 진행하기 위해 보안 전문가들은 해당 IBM X-Force 연구에서제공하는 IoC를 사용하여 즉각적인 추적을 시작할 수 있습니다. SOC Prime의 Uncoder AI를 활용하면 몇 초 만에 사용자 정의 IoC 기반 쿼리를 만들어 사용자가 선택한 SIEM이나 EDR 환경에서 자동으로 작업할 수 있습니다.

Hive0051 공격에 대한 추가적인 맥락을 얻고 적대자의 TTP를 회고적으로 분석하려면 보안 전문가들은 SOC Prime의 블로그에 있는 관련 글 모음집을 탐색하여 ATT&CK 참조, 관련 콘텐츠 팩, 연구 세부사항을 탐색할 수 있습니다.

Hive0051 (일명 Gamaredon APT) 공격 분석

악명 높은 러시아 연계 사이버 스파이 활동 그룹인 Gamaredon 그룹, 또는 Armageddon APT (Hive0051 또는 UAC-0010)로 알려진 이들은 세계적 사이버 전쟁이 시작된 이래로 우크라이나를 타겟으로 한 일련의 사이버 공격의 배후로 확인되었습니다.

IBM X-Force 연구원들은 2023년 중반 이후 Hive0051 활동의 급증을 추적해왔습니다. 지속적인 공격 시리즈에서 APT 그룹은 새로운 Gamma 멀웨어 변종을 실험하고 있습니다.

특히, Gamaredon은 2022년에 우크라이나를 대상으로 여러 피싱 공격을 감행했으며, 다양한 GammaLoad 버전, 특히 GammaLoad.PS1 을 피해 VBScript 코드로 전달하고, 추적된 멀웨어 업데이트 버전인 GammaLoad.PS1_v2. 

를 사용했습니다. 유혹 샘플 분석에 따르면 우크라이나의 지역 군, 경찰, 민간 정부 기관들이 여전히 Hive0051의 주요 표적입니다. 적들은 주로 우크라이나 군사 능력에 대한 정보를 수집하고 있습니다. 그러나 새로운 보안 협정과 관련 훈련 및 재정 지원을 제공하는 파트너도 적의 관심 대상이 될 수 있습니다.

2023년 11월부터 2024년 3월 초까지 이어진 지속적인 캠페인에서 Gamaredon은 3개의 독특한 멀웨어 브랜치가 등장하게 하고, 거의 실시간으로 파일을 탈출시키고 키보드 액세스를 수동으로 취하는 높은 수준의 정교하고 공격적인 감염 방식 등을 보여주었습니다. 또한, 조사는 주로 우크라이나 군사 및 정부 훈련 센터를 표적하는 우크라이나어 유혹 문서 6개를 확인했습니다. 공격자들은 Telegram, Telegraph, Filetransfer.io를 비롯한 여러 채널을 통해 동기화된 DNS 플럭싱을 통해 C2 인프라를 교체했습니다. 이 그룹은 또한 여러 도메인에 걸쳐 여러 활성 C2 클러스터를 유지하면서 공격의 범위와 규모를 확장하기도 했습니다.

연구원들은 GammaLoad 배포로 이어지는 두 가지 주요 감염 체인을 확인했습니다. 첫 번째는 해로운 VBScript 코드를 포함한 HTA 파일을 통해 메인 백도어를 투하하고 로드하는 방법을 사용합니다. 또 다른 일반적인 기술은 원격 템플릿을 사용하여 VBA 매크로를 주입하고, 같은 VBScript 기반 백도어를 투하하는 Office 문서를 이용합니다.

멀웨어가 성공적으로 실행된 후, 목표 C2 서버의 IP 주소를 해결하기 위해 다양한 동적 DNS 해석 기술을 사용합니다. 특히 GammaLoad의 단 한 번의 성공적인 실행만으로도 침입 중 몇 분 내에 여러 페이로드가 배포될 수 있습니다. 연구원들은 각각 독립적인 C2 백업 채널, 지속성 메커니즘, 파일 시스템 아티팩트, 목표를 가진 최소 세 개의 별도의 멀웨어 브랜치, 즉 GammaLoadPlus, GammaSteel, 그리고 GammaLoad.PS가 단일 영향을 받은 클라이언트에 즉시 설치되는 것을 확인했습니다.

현재 진행 중인 러시아-우크라이나 전쟁 속에서, Gamaredon은 우크라이나 무장의 힘, 효과, 전투 능력에 대한 민감한 데이터를 수집하는 데 우선순위를 둘 가능성이 높습니다. 이 그룹의 복잡성 증대와 공격 능력 진화에 대한 집중은 사이버 감시에 지속적으로 주의하고 사이버 방어 능력을 강화할 필요성을 강조합니다. 집단 사이버 방어를 위한 SOC Prime 플랫폼은 AI 기반 감지 엔지니어링, 자동화된 위협 사냥 및 탐지 스택 검증을 위한 완전한 제품군을 제공하여 조직이 어떤 규모로든 새로운 위협에 능동적으로 대처할 수 있게 합니다.