위협 행위자들, UKR.NET 서비스를 가장한 스피어 피싱 이메일을 이용해 첩보 활동 수행

이 글은 CERT-UA가 제공한 원본 연구를 강조합니다: https://cert.gov.ua/article/37788 

2022년 3월 16일, 우크라이나의 컴퓨터 비상 대응 팀 CERT-UA는 스피어피싱 캠페인 을 통해 우크라이나 조직을 사이버 스파이웨어에 감염시키려는 시도를 발견했습니다. 사용된 전술을 고려할 때, CERT-UA는 이 활동을 러시아가 지원하는 상위 APT28 집단(UAC-0028) 중 하나와 관련이 있다고 낮은 신뢰도로 판단합니다. 스피어피싱은 적어도 2021년 6월부터 APT28 공격의 주요 벡터였습니다. 공격자들의 다음 단계는 데이터를 유출하거나 감염된 이메일을 사용하여 정밀한 공격 대상에 대해 추가적인 스피어피싱 공격을 수행하는 것입니다.

스피어피싱 캠페인이 스파이웨어와 함께 우크라이나 조직을 감염시킵니다: CERT-UA 조사

CERT-UA 조사는 UKR.NET의 메시지를 모방한 이메일을 배포하는 스피어피싱 캠페인을 밝힙니다. 이 이메일에는 URL 축소 서비스를 사용해 생성된 QR 코드가 포함되어 있습니다. 이 URL을 열면 피해자는 UKR.NET 비밀번호 재설정 페이지를 스푸핑하도록 시도하는 웹사이트로 리디렉션됩니다. 사용자가 HTTP POST 요청을 통해 입력한 데이터는 공격자가 Pipedream 플랫폼에 배포한 웹 리소스로 전송됩니다.

스파이웨어 전달을 목표로 한 스피어피싱 캠페인을 보여주는 CERT-UA 제공 그래픽 이미지

글로벌 침해 지표 (IOCs)

hxxps://tinyurl[.]com/2p8kpb9v
hxxps://panelunregistertle-348.frge[.]io/
hxxps://eoy7zvsvn6xfcmy.m.pipedream[.]net
hxxps://eo9p1d2bfmioiot.m.pipedream[.]net/?usr=
hxxps://eoiw8lhjwuc3sh2.m.pipedream[.]net
panelunregistertle-348.frge[.]io
eo9p1d2bfmioiot.m.pipedream[.]net
eoiw8lhjwuc3sh2.m.pipedream[.]net
frge[.]io (2021-04-21)
pipedream[.]net (legitimate website)

UKR.NET을 미끼로 한 피싱을 탐지하기 위한 IOC 기반 헌팅 쿼리

보안 실무자가 위에서 언급된 IOC를 거의 20개의 가장 인기 있는 SIEM 또는 XDR 환경에서 실행할 준비가 된 커스텀 헌팅 쿼리로 자동 변환할 수 있도록 SOC Prime 플랫폼은 Uncoder CTI 도구를 제공합니다 – 현재 모든 등록된 사용자에게 무료로 제공 되는 이 서비스는 2022년 5월 25일까지 가능합니다.

계속해서 변하는 사이버 위협에 앞서고 공격자가 귀하의 조직 계정을 손상시키고 악의적인 목적에 사용하지 못하도록 하십시오. 협력적인 사이버 방어 접근법은 최신의 가장 정확한 위협 탐지 콘텐츠를 간소화할 수 있게 해줍니다. 등록하여 SOC Prime의 Detection as Code 플랫폼에 바로 가입하여 사이버 방어를 강화하는 데 도움이 되는 23,000개의 큐레이션된 탐지 규칙에 접근할 수 있습니다.

러시아의 사이버 위협이 고조되는 상황을 고려하여, SOC Prime은 귀하의 인프라에 대한 러시아 발 사이버 공격을 식별할 수 있는 2,000개 이상의 시그마 규칙을 제공합니다. 주목할만한 것은 SOC Prime의 최신 Quick Hunt 프로모션에서 모든 탐지가 현재 무료로 제공된다는 것입니다. Detection as Code 플랫폼에서 #stopwar, #stoprussian 및 #stoprussianagression 태그로 검색하여 Quick Hunt 모듈로 즉시 헌팅을 시작할 수 있습니다. Quick Hunt 프로모션에 대해 더 자세히 전용 기사에서 알아보십시오. 전용 기사에서 알아보십시오.