SmokeLoader 멀웨어 감지: UAC-0006 해커, 우크라이나의 회계사들을 대상으로 피싱 공격 펼쳐

[post-views]
10월 09, 2023 · 3 분 읽기
SmokeLoader 멀웨어 감지: UAC-0006 해커, 우크라이나의 회계사들을 대상으로 피싱 공격 펼쳐

2023년 10월 초, UAC-0006 그룹 의 네 가지 이상의 사이버 공격 시리즈가 우크라이나를 표적으로 삼았다는 것이 CERT-UA 연구원들의 보고로 밝혀졌습니다. 공격자들은 이전 캠페인에서와 유사한 적대 공구 세트를 사용하여, SmokeLoader 를 최신 피싱 작전에서 활용했습니다.

SmokeLoader 배송: UAC-0006 공격 분석

2023년 10월 6일, CERT-UA는 네 건의 경고를 발표하여 금전적으로 동기가 부여된 UAC-0006 그룹과 관련이 있는 우크라이나 회계사들을 대상으로 한 피싱 활동의 급증을 관련 커뮤니티에 통보했습니다. 이 진행 중인 캠페인 동안, 해커들은 손상된 합법적인 이메일 계정을 사용하여 피싱 이메일을 잠재적인 피해자에게 보냅니다. 또한, UAC-0006은 여러 방법으로 SmokeLoader를 배포하며, PDF 또는 ZIP 첨부 파일을 유인물로 사용합니다. 후자를 열면 자바스크립트 로더 또는 배치 파일이 실행되어 SmokeLoader 멀웨어를 포함한 실행 파일이 실행됩니다. 특히, 원격 액세스 서버는 러시아와 연결된 리소스에 호스팅되어 있습니다.

UAC-0006 위협 행위자는 2023년 5월 초와 이후 7월 중순에 사이버 위협계에서 주목을 받았습니다. 피싱 공격 벡터를 악용하며 확산시키고 있습니다. SmokeLoader.

최신 공격에서, UAC-0006 갱은 회계사의 개인 컴퓨터를 목표로 삼아 인증 데이터를 탈취하고 원격 은행 시스템 내 금융 문서의 세부 사항을 변경하여 무단 결제를 보낼 수 있는 기회를 노리고 있습니다. 2023년 8월부터 9월까지, 적들은 최대 수천만 흐리브냐를 탈취하려고 시도했습니다.

금융 사이버 범죄로부터 기업 네트워크를 보호하기 위해, CERT-UA 연구원들은 신뢰할 수 있는 보안 소프트웨어를 적용하고 wscript.exe, cscript.exe, powershell.exe, mshta.exe 및 유사한 도구의 실행을 제한하며, 아웃바운드 정보 흐름을 필터링할 것을 권장합니다.

또한, 은행 기관은 기본적인 사기 방지 관행과 새로운 상대방, 한도를 초과하는 금액 및 신뢰할 수 있는 IP 주소 목록에 따른 클라이언트의 은행 접근 제한과 관련된 보안 설정을 적용해야 합니다.

최신 CERT-UA 경고에서 강조된 SmokeLoader를 사용한 UAC-0006 공격 감지

피싱 공격의 압도적인 수와 금융 사이버 범죄의 증가하는 위험에 대응하여, 진보적인 조직들은 침입으로부터 회계 시스템을 보호할 방법을 찾고 있습니다. 이러한 유형의 새롭게 나타나고 기존의 위협에 대응하여, SOC Prime 플랫폼은 조직의 사이버 보안 태세를 리스크 최적화하는 혁신적인 솔루션을 제공하여 수비수들을 돕습니다. SOC Prime 팀은 SmokeLoader 멀웨어를 활용하는 UAC-0006 해커의 지속적인 악의적인 활동을 탐지하기 위한 행동 기반 Sigma 규칙을 보안 팀에 제공합니다. 보안 엔지니어들은 CERT-UA 경고 ID(“CERT-UA#7648”, “CERT-UA#7688”, “CERT-UA#7699”, “CERT-UA#7705”)를 기반으로 하는 사용자 정의 태그를 사용하여 이 탐지 콘텐츠를 찾을 수 있습니다. 아래 링크를 따라가면 인기 있는 클라우드 및 온프레미스 보안 솔루션으로 즉각 변환할 수 있는 관련 Sigma 규칙을 확인할 수 있습니다:

SmokeLoader를 퍼뜨리는 UAC-0006의 지속적인 공격을 감지하기 위한 Sigma 규칙 

또한, 사이버 보안 전문가들은 SmokeLoader 감지를 위한 Sigma 규칙의 다른 모음을 활용하여 감지 및 사냥 능력을 향상시키고 UAC-0006 행위자의 공격에 대해 선제적으로 방어할 수 있습니다. 이하 탐지 탐색 버튼을 클릭하여 관련 태그 (“UAC-0006”)로 필터링된 SOC 콘텐츠 항목을 자세히 탐색할 수 있습니다. 모든 Sigma 규칙은 MITRE ATT&CK® 프레임워크 와 맞춰져 있으며, 사이버 위협 맥락을 탐색하는 데 도움이 되는 위협 인텔을 동반합니다.

탐지 탐색

또한, 팀은 SmokeLoader를 감지하기 위한 30+ Sigma 규칙을 탐색할 수 있습니다..

SOC Prime의 Uncoder AICERT-UA가 제공한 관련 IOC를 찾기 위한 사용자 정의 쿼리를 생성하고 클라우드 환경에서 자동으로 실행할 수 있습니다.

UAC-0006 공격 탐지를 위한 사용자 정의 IOC 쿼리를 생성하기 위해 Uncoder AI를 사용하세요.

MITRE ATT&CK 맥락

사이버 수비자들은 또한 UAC-0006에 의한 사이버 공격의 물결 뒤에 있는 포괄적인 사이버 위협 맥락을 CERT-UA#7648, CERT-UA#7688, CERT-UA#7699, CERT-UA#7705 경고에서 파악할 수 있습니다. 모든 적용 가능한 적대 전술, 기술 및 하위 기술의 목록을 찾으려면 아래 표를 확인하여 심층적인 위협 연구를 위한 관련 Sigma 규칙과 연결하십시오:

Tactics 

Techniques

Sigma Rule

Initial Access

Phishing: Spearphishing Link

(T1566.002)

Phishing: Spearphishing Attachment

(T1566.001)

Execution

Command and Scripting Interpreter: JavaScript (T1059.007)

Exploitation for Client Execution (T1203)

User Execution: Malicious File (T1204.002)

Command and Scripting Interpreter: JavaScript (T1059.005)

Defense Evasion

Masquerading: Double File Extension (T1036.007)

Masquerading: Match Legitimate File or Location (T1036.005)

Masquerading: Masquerade File Type (T1036.008)


System Script Proxy Execution (T1216)

System Binary Proxy Execution (T1218)

Subvert Trust Controls: Mark-of-the-Web Bypass (T1553.005)

Obfuscated Files or Information (T1207)

Process Injection: Process Hollowing (T1055.012)

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.
무료 가입하기 미팅 예약하기

관련 게시물

Koske 악성코드 탐지: AI로 생성된 새로운 리눅스 위협 5 분 읽기 최신 위협 Koske 악성코드 탐지: AI로 생성된 새로운 리눅스 위협 by Veronika Telychko AI 위협 인텔리전스 10 분 읽기 SIEM & EDR AI 위협 인텔리전스 by Veronika Telychko 사이버락, Lucky_Gh0$t 및 Numero 탐지: 해커들이 가짜 AI 도구 설치 프로그램을 랜섬웨어 및 멀웨어 공격에 무기로 사용 4 분 읽기 최신 위협 사이버락, Lucky_Gh0$t 및 Numero 탐지: 해커들이 가짜 AI 도구 설치 프로그램을 랜섬웨어 및 멀웨어 공격에 무기로 사용 by Veronika Telychko
모든 뉴스