소니아 악성코드 탐지: UAC-0118 일명 FRwL, 우크라이나의 조직들을 대상으로 향상된 악성코드 변종을 사용한 사이버 공격 개시

이후 글로벌 사이버 전쟁의 발발로, 정보 도용 및 악성 페이로드를 이용한 우크라이나 및 그 동맹국에 대한 사이버 공격이 사이버 위협 분야에서 소란을 일으켰습니다. 우크라이나 조직에 대한 최신 사이버 공격에서는 공격 주체가 Vidar 정보 도용기 과 악명 높은 Cobalt Strike Beacon을 포함한 다양한 공격 도구를 적용했습니다. 이 도구들은 2022년 2월 이후 우크라이나에 대한 일련의 악의적 캠페인에서 자주 사용되고 있습니다. 

2022년 11월 11일, CERT-UA 연구자들은 우크라이나에서 조직에 대한 지속적인 사이버 공격으로 인해 정보 무결성과 가용성을 손상시키는 사이버 보안 사건에 대한 통찰을 제공했습니다. 자동화 시스템과 컴퓨터에 대한 무단 침입을 책임지는 적대적 활동은 UAC-0118로도 추적되는 FRwL 일명 Z-Team 해킹 집단에 속하는 것으로 확인되었습니다.

CERT-UA#5185 경고에 의해 포괄된 UAC-0118 악의적 활동 탐지

우크라이나 및 그 동맹국에 대한 사이버 공격의 증가하는 볼륨과 정교함을 감안할 때, 사이버 보안 실무자는 잠재적 침입으로부터 조직을 사전에 방어하기 위해 신속하게 새로운 위협을 탐지해야 합니다. SOC Prime Platform은 UAC-0118 행위자와 연관된 악의적 활동을 식별하기 위한 고품질 경고 및 관련 사냥 쿼리를 한데 모아 제공하며, 이는 CERT-UA#5185 경고에 의해 포괄됩니다. 모든 탐지는 “UAC-0118” (“UA#5185”)으로 태그되어 SOC 팀원이 콘텐츠를 쉽게 선택할 수 있도록 합니다: 

CERT-UA#5185 경고에 포괄된 악의적 활동을 탐지하기 위한 Sigma 규칙

전용 Sigma 규칙에 도달하려면 탐지 탐색 버튼을 눌러 그룹 식별자에 기반한 관련 UAC-0118 태그로 필터링된 Sigma 규칙을 확인하십시오. 탐지 알고리즘은 MITRE ATT&CK®와 일치하며 관련 CTI 링크, 완화 조치, 실행 가능한 바이너리 및 기타 관련 메타데이터를 포함한 자세한 사이버 위협 컨텍스트와 함께 제공됩니다. Sigma 규칙은 모든 환경에서 필요한 사이버 보안 실무자 요구를 맞추기 위해 25개 이상의 SIEM, EDR 및 XDR 솔루션으로 번역되어 제공됩니다. 

탐지 탐색

위협 탐지 노력을 간소화하고 SOC 운영의 효율성을 높이기 위해 보안 전문가는 Uncoder CTI를 사용하여 최신 UAC-0118 공격과 관련된 IOC를 검색할 수 있습니다. CERT-UA#5185 경고에서 관련 IOC를 포함한 텍스트를 붙여넣기만 하면 선택한 환경에서 실행할 준비가 된 맞춤형 IOC 쿼리를 얻을 수 있습니다. 

UAC-0118 활동의 Somnia Malware 확산: 공격 분석

최신 CERT-UA#5185 경고는 FRwL 그룹(또는 Z-Team 또는 UAC-0118로도 알려진)이 손상된 시스템에 Somnia 악성 코드를 확산시켜 우크라이나를 대상으로 지속적으로 수행하는 사이버 공격에 대한 연구를 제공합니다. 조사는 Advanced IP Scanner 소프트웨어로 위장한 악성 파일의 다운로드 및 실행을 통해 감염 체인이 촉발되었음을 밝혀냈습니다. 합법적인 소프트웨어로 가장한 파일에는 실제로 Vidar 정보 도용기.

가 포함되어 있었습니다. 사이버 보안 연구자들은 광범위한 소프트웨어로 가장한 공식 웹 리소스의 복사본을 생성하는 공격자가 초기 접근 브로커의 공격 도구 키트에 속한다고 가정합니다. 최신 사건의 경우, 초기 접근 브로커가 데이터 유출을 담당한 후 FRwL 해킹 그룹과 타협된 데이터를 공유하여 사이버 공격을 진행할 수 있게 했습니다. 

특히, Vidar 악성 코드는 Telegram 세션 데이터를 도용할 수도 있습니다. 잠재적 피해자가 이중 인증 및 암호를 활성화하지 않았다면, 공격자는 타협된 사용자 계정에 대한 무단 액세스를 얻을 수 있습니다. 진행 중인 사이버 공격에서는 피해자의 Telegram 계정이 VPN 연결의 구성 파일(인증서 및 인증 데이터 포함)을 제출하는 데 사용되었습니다. VPN 연결 중에 이중 인증이 비활성화되어 있었기 때문에, 공격자는 기업 네트워크에 액세스할 수 있었으며 VPN을 통한 무단 접근을 얻은 후, 공격자는 탐색을 위해 Netscan를 실행하고, Cobalt Strike Beacon을 수행하며 Rclone을 통해 데이터 추출을 수행했습니다. 위에서 언급한 악성 코드 스트레인 외에도 FRwL 그룹은 Anydesk 및 Ngrok를 손상된 시스템에 배포하는 것으로 관찰되었습니다.

진행 중인 사이버 공격에 적용된 Somnia라는 악성 코드 스트레인은 크게 발전하였습니다. 초기 악성 코드는 3DES 알고리즘을 사용했지만, 현재 버전은 AES 암호화 알고리즘을 적용하며 향상된 방어회피를 위해 데이터 복호화 기능을 포함하지 않습니다. 

MITRE ATT&CK® 컨텍스트

UAC-0118 위협 행위자에 의한 최신 사이버 공격의 컨텍스트를 파악하기 위해 모든 전용 Sigma 규칙은 MITRE ATT&CK® 프레임워크 와 일치하며 관련 전술 및 기술을 다룹니다:

또한, SOC Prime Platform의 Sigma 규칙과 CERT-UA#5185 경고에 의해 제공된 IOC를 기반으로 관련 MITRE ATT&CK 컨텍스트를 제공하는 JSON 형식의 ATT&CK Navigator 파일을 아래에서 다운로드할 수 있습니다: