SmokeLoader 탐지: UAC-0006 그룹, 우크라이나를 대상으로 새로운 피싱 캠페인 시작

주의! 사이버 방어자들은 감염 체인이 악성 VBS 파일을 열어 트리거되며 확산을 초래하는 송장 관련 이메일 제목을 이용한 새로운 피싱 공격 물결을 알림 받았습니다. SmokeLoader 멀웨어 가 영향을 받은 기기에서 발생하고 있습니다. 조사에 따르면, 이 악성 활동은 재정적 동기를 가진 UAC-0006 해킹 그룹 과 관련이 있으며, 이는 이전에도 동일한 악성 스트레인 및 피싱 공격 벡터를 사용하여 우크라이나를 대상으로 한 공격에서 관찰되었습니다.

SmokeLoader 멀웨어 확산을 위한 UAC-0006 공격 작전 분석

약 한 달이 조금 지난 후 재정적 동기를 가진 UAC-0006 해커들의 피싱 공격 이 우크라이나를 표적으로 하여, CERT-UA 연구자들은 금융 주제를 악용한 또 다른 캠페인을 밝혀냈습니다 그리고 SmokeLoader 멀웨어도 배포하고 있습니다. 해커들은 송장 관련 주제와 VBS 파일을 포함하는 첨부 파일이 있는 이메일을 대량으로 전파하며, 이는 설치 및 실행을 위해 SmokeLoader 멀웨어 영향을 받은 기기에서 작동하도록 의도되었습니다.

소설 CERT-UA#6999 경고에 다룬 이 캠페인에서 멀웨어 설정 파일에는 45개의 도메인 이름이 포함되어 있으며, 그 중 5개는 A 레코드를 사용하여 러시아 제공자와 연결됩니다. 지속성을 유지하기 위해, 이 공격에 사용된 멀웨어 버전은 해당 DNS 서버에 연결하여 현재 도메인 이름의 A 레코드를 정의할 수 있습니다. UAC-0006 적대자들은 우크라이나에 대한 이전 캠페인에서 관찰된 그들의 행동 패턴과 유사하게 손상된 이메일 계정을 적용합니다.

잠재적인 완화 조치로, 방어자들은 위협을 최소화하기 위해 Windows Script Host와 PowerShell 사용을 제한할 것을 권장합니다.

CERT-UA#6999 경고에 다룬 UAC-0006 활동 탐지

UAC-0006과 관련된 공격 작전의 증가하는 양은 관련 공격을 제때 방어하기 위한 사이버 방어자들의 초응답성을 요구합니다. SOC Prime Platform의 집단 사이버 방어를 위한 플랫폼은 Sigma 규칙을 선별 제공하여 조직이 그룹의 대량 SmokeLoader 배포 공격을 주도적으로 방어하고 관련 적대자 TTPs를 제때 식별할 수 있도록 도와줍니다.

아래의 탐지 탐색 버튼을 눌러 CERT-UA#6999 경고에 명시된 UAC-0006 공격 탐지를 위한 Sigma 규칙의 전체 목록을 얻으십시오. SOC 콘텐츠 검색을 가속화하려면 ‘UAC-0006’ 또는 ‘CERT-UA#6999’라는 관련 태그를 적용하세요. 모든 탐지 알고리즘은 사이버 위협 컨텍스트로 강화되며 사용 중인 수십 가지 언어 형식으로 자동 변환될 수 있습니다.

탐지 탐색

보안 엔지니어는 또한 활용할 수 있습니다 Uncoder AI 를 사용하여 CERT-UA#6999 경고 에 나열된 IOC를 즉시 검색하고, 선택된 환경에서 실행 가능한 맞춤 IOC 쿼리를 작성하여 즉시 실행할 수 있습니다.

MITRE ATT&CK 컨텍스트

사이버 방어자들은 ATT&CK에 따라 관련 적대자 전술 및 기술 목록을 제공하는 아래 표를 탐색하여 UAC-0006의 피싱 공격 배경을 보다 자세히 분석할 수 있습니다.