팔로우 
재정적으로 동기 부여된 해킹 집단인 UAC-0006는 피싱 공격 벡터를 악용하고 악성 코드를 배포하여 사이버 위협 분야에 복귀했습니다. SmokeLoader 악성코드를 배포합니다. 최신 CERT-UA 사이버 보안 경고에 따르면 위협 행위자는 경제 관련 이메일 제목을 사용하여 손상된 계정을 이용한 피싱 이메일을 대량 배포하고, 악성 ZIP 첨부파일을 사용하여 표적 시스템에 악성코드를 배포합니다.
UAC-0006 피싱 공격 분석: SmokeLoader 확산
2023년 5월 5일, CERT-UA 사이버 보안 연구원들은 새로운 CERT-UA#6613 경고를 발행하여 악명 높은 재정적으로 동기 부여된 해킹 그룹인 UAC-0006의 현재 공격 캠페인을 다루었습니다. 피싱 이메일에 첨부된 악성 아카이브를 악용하여 위협 행위자는 SmokeLoader 악성코드 샘플을 손상된 시스템에 배포합니다. 이 아카이브는 문서 미끼와 JavaScript 코드를 포함하는 폴리글럿 파일로, 이를 다운로드하고 실행 파일 portable.exe 를 PowerShell을 통해 실행합니다. 후자는 SmokeLoader 악성코드를 실행하여 감염을 확산시킵니다.
현재 캠페인을 진행 중인 UAC-0006 해킹 집단은 2013년부터 2021년 7월까지 사이버 위협 분야에서 주목받아 왔습니다. 이 그룹은 초기 공격 단계에서 JavaScript 파일 업로더를 일반적으로 사용합니다. 일반적인 적군 행동 패턴은 원격 은행 서비스에 접근 권한을 얻고, 인증 자격 증명 (예: 비밀번호, 키, 인증서 등)을 도용하며, 손상된 시스템에서 HVNC 봇을 실행하여 무단 결제를 수행하는 것을 포함합니다.
위협을 최소화하는 데 도움이 되는 권장 완화 조치는 잠재적으로 손상된 컴퓨터에서 Windows Script Host를 차단하는 것입니다. 이러한 완화 구성을 활성화하려면 CERT-UA 연구원은 레지스트리 분기에 DWORD 유형 및 값 ‘0’으로 ‘Enabled’ 속성을 추가할 것을 제안합니다. {HKEY_CURRENT_USER,HKEY_LOCAL_MACHINE}SoftwareMicrosoftWindows Script HostSettings.
UAC-0006 그룹에 의해 확산된 SmokeLoader 악성코드 탐지: CERT-UA#6613 경고에서 다루어진 내용
러시아 관련 공격자들이 우크라이나 조직을 대상으로 하는 피싱 공격의 양과 정교함이 증가함에 따라, 조직들은 가능한 침입을 사전에 방어하기 위해 신뢰할 수 있는 탐지 콘텐츠 소스를 필요로 합니다. SOC Prime의 Detection as Code Platform은 CERT-UA 조사에 다루어진 적군 TTPs에 대응하는 시그마 규칙 리스트를 수집합니다. 모든 탐지 콘텐츠는 28+ SIEM, EDR 및 XDR 솔루션과 호환되며 MITRE ATT&CK 프레임워크 v12에 매핑되어 있습니다.
아래의 탐지 탐색 버튼을 누르고 UAC-0006의 최신 SmokeLoader 캠페인을 식별하는 탐지 콘텐츠에 들어가세요. 모든 규칙은 ATT&CK 참고 사항과 CTI 링크를 포함한 관련 메타데이터로 보강됩니다. 콘텐츠 검색을 간소화하기 위해 SOC Prime Platform은 경고 및 그룹 식별자에 기반하여 사용자 지정 태그 ‘CERT-UA#6613’ 및 더 넓은 태그 ‘UAC-0006’을 통해 필터링을 지원합니다.
보안 실무자는 또한 최근 UAC-0006 캠페인과 관련하여 우크라이나 조직을 상대로 하는 IoC를 검색하여 위협 헌팅 작업을 간소화할 수 있습니다 Uncoder.IO를 사용하세요. 최신 CERT-UA 보고서 에서 나열된 IoC를 도구에 붙여 넣고 몇 초 만에 성능 최적화된 쿼리로 쉽게 변환할 수 있습니다.
MITRE ATT&CK 문맥
SmokeLoader 악성코드를 활용한 UAC-0006 피싱 공격의 배경을 탐구하기 위해, 모든 상기 참조된 시그마 규칙은 관련 전술 및 기술을 다루는 ATT&CK v12 태그가 되어 있습니다:
