샤크웜 첩보 그룹 공격 탐지: 러시아 후원 위협 행위자가 반복적으로 우크라이나 군, 보안 및 정부 조직을 공격

러시아의 우크라이나 전면 침공 이후, 공격자의 공격 세력은 우크라이나와 그 동맹국을 대상으로 한 사이버 첩보 캠페인을 쏟아 부었으며, 주로 정부 기관을 표적으로 하며 피싱 공격 벡터를 자주 활용했습니다. 악명 높은 해킹 집단인 Shuckworm (아마겟돈, 가마레돈)는 러시아 FSB와 관련이 있는 것으로 알려져 있으며, 적어도 2014년 이래로 우크라이나 주정부 기관에 대한 일련의 공격 배후에 있는 것으로 관찰되었으며, 주로 정보 수집을 목표로 하는 맞춤형 사이버 정보 작전을 시작했습니다. 최근 사이버 보안 연구원들은 이 그룹의 악성 활동이 급증했음을 알아차렸으며, 보안 서비스 조직, 군사 및 정부 기관이 현재 주요 표적입니다.

Shuckworm의 첩보 캠페인 탐지

Shuckworm으로 알려진 러시아의 악명 높은 해킹 집단에 귀속된 지속적이고 집중적인 사이버 첩보 캠페인은 여러 우크라이나 조직, 특히 공공 부문에 심각한 위협을 제기하기 때문에 사이버 방어자들의 주목을 끌고 있습니다. 그룹이 오랜 시간의 침입을 시도하고 지속적으로 자신의 적대적 도구를 개발하는 것은 전 세계 사이버 방어 커뮤니티로 하여금 공격자의 사이버 첩보 작전의 증가하는 위협에 신속하게 대응할 준비를 갖추기 위해 경계를 요구합니다. SOC Prime의 집단 사이버 방어 플랫폼은 조직이 Shuckworm의 공격에 선제적으로 대응할 수 있도록 돕기 위해 Sigma 규칙을 전용으로 선별합니다.

모든 Sigma 규칙은 콘텐츠 검색을 단순화하기 위해 해당 사용자 정의 태그 “Shuckworm”으로 필터링됩니다. 를 클릭하십시오. 탐지 탐색 아래 버튼을 눌러 관련 탐지 규칙과 사냥 쿼리의 전체 컬렉션을 자세히 살펴보고, 그들이 MITRE ATT&CK® 프레임워크 에 매핑되고, 업계 선두의 SIEM, EDR 및 XDR 솔루션으로 자동 변환할 수 있는지 확인하십시오. 스트림라인된 위협 조사를 위해 ATT&CK 링크, CTI, Sigma 규칙과 연결된 실행 가능한 바이너리 및 관련 메타데이터를 탐색하십시오.

탐지 탐색

Shuckworm 활동: 최신 공격 분석

2013년에 처음 등장한 Shuckworm(가마레돈, 아마겟돈, Trident Ursa로도 알려진)은 악성 아레나에서 숙련된 플레이어입니다. 이 해킹 집단은 우크라이나 및 그 동맹국을 상대로 한 목표 지향의 사이버 정보 및 파괴 활동을 수행하기 위해 러시아 연방 연방 보안 서비스의 핵심 부분으로 작용합니다. CERT-UA는 Shuckworm 그룹의 공격적 작전을 면밀히 주시하고 있습니다 CERT-UA 연구원들이 UAC-0010 식별자로 추적하고 있는 동안 2022-2023년 동안 Shuckworm은 우크라이나 개체를 대상으로 하는 가장 침투적이고 집중적인 APT 중 하나로 남아 있었으며, 나토 국가의 핵심 인프라 설비를 방해하려고 시도하기도 했습니다 disrupt critical infrastructure facilities in the NATO countries. 

주로 Shuckworm 그룹은 사람들 중개 공격 캠페인을 통해 사이버 첩보 활동을 계속합니다. 위협 행위자는 VBScript, VBA 스크립트, C#, C++ 및 기타 프로그래밍 언어로 작성된 간단한 도구를 처음에는 주로 오픈 소스를 활용하지만, 점차적으로 도구킷을 Pterodo/Pteranodon, EvilGnome 및 GammaLoad, GammaSteal, Giddome과 같은 다수의 정보 스틸러들이 포함된 사용자 정의 사이버 첩보 도구로 강화하는 경향이 있습니다.

우크라이나에서의 전면전 발발 이후, Shuckworm은 대대적으로 공격 활동을 강화했으며, 이는 최근 2023년 2월-3월에 증가가 관찰되었습니다. 공격의 양뿐만 아니라, Shuckworm의 적대자들은 악성 툴셋을 강화하려고 합니다. Symantec의 조사 는 APT 행위자가 정보 스틸러, 기본 Word 템플릿 하이재커 및 다양한 Pteranodon 백도어 변종에서 네트워크를 통해 더 넓은 범위의 인스턴스를 감염시키는 데 도움이 되는 새로운 USB 맬웨어로 전환하고 있음을 상세히 설명합니다.

Shuckworm 해커가 최근 캠페인에서 우크라이나 정부, 군사, 보안 및 연구 조직의 인사부서에 특히 집중하여 해당 자들과 관련된 개인에 대한 민감한 정보를 얻으려고 시도했다는 점을 주목할 가치가 있습니다.

최근 캠페인 내 침입은 주로 악성 파일이 첨부된 피싱 이메일로 시작합니다. 열릴 경우, PowerShell 명령어를 트리거하여 공격자의 서버에서 Pterodo 페이로드를 다운로드합니다. 이와 함께 PowerShell 스크립트는 장치의 모든 드라이브를 열거하고 자신을 이동식 USB 드라이브로 복사하여 비밀리에 전파되고 손쉽게 횡적 이동할 가능성을 높입니다.

보안 전문가들은 Shuckworm이 우크라이나와 그 동맹국에 계속 레이저처럼 초점을 맞추고 있으며, 사이버 첩보 및 파괴 활동을 수행하기 위해 악성 툴셋을 지속적으로 발전시키고 있음을 지적합니다. CERT-UA 및 SSSCIP와 직접 협력함으로써, SOC Prime 팀은 실제 전장에서 Sigma 규칙을 연구하고 개발하며 테스트하며 관련 탐지 알고리즘을 집계하고 SOC Prime의 플랫폼을 통해 글로벌 협력을 장려합니다.

APT 그룹이 공격에 사용하는 모든 TTP에 대한 탐지 콘텐츠를 완전히 갖추기 위해 SOC Prime에 의존하십시오. 철저한 보안 뉴스를 바로 받을 수 있는 세계에서 가장 빠른 피드, 맞춤형 위협 인텔리전스, 및 최대 10,000+ Sigma 규칙을 계속적으로 새 탐지 아이디어로 강화되는 가장 큰 큐레이팅된 저장소에 접근하십시오. 증강 인텔리전스와 집합 산업 전문 지식을 활용하여 고급 탐지 엔지니어링을 위한 최고의 도구를 보안 팀의 모든 멤버에게 장착하십시오. 클라우드로 데이터를 이동하지 않고도 조직별 로그에 기반한 위협 가시성을 보장하기 위해 블라인드 스팟을 식별하고 적시에 대처하십시오. 등록하십시오. SOC Prime 플랫폼 에 지금 등록하고, 내일의 보안을 위한 최고의 툴링으로 귀하의 보안 팀을 강화하십시오.