트라이던트 우르사 aka 가마레돈 APT 공격 탐지: 러시아 지원 해커, NATO 국가의 정유소를 표적으로 공격 활동 증가
2022년 2월 러시아의 우크라이나에 대한 전면 침략 이후, 악명 높은 러시아 연계 해킹 그룹 Trident Ursa는 또한 Armageddon APT aka Gamaredon 또는 UAC-0010으로 추적되며 우크라이나와 그 동맹국을 겨냥한 공격 작전을 개시했습니다. 해킹 단체는 10개월 이상 동안 피싱 사이버 공격을 수행했으며 이는 해당 CERT-UA 경고에서 다루어졌으며 악의적 활동을 지속적으로 확대하고 있습니다.
사이버보안 연구자들은 사이버 최전선에서 우크라이나와 그 동맹을 겨냥한 가장 침입적이고 집중적인 APT로 남아있는 UAC-0010 그룹의 공격 작전을 면밀히 관찰하고 있습니다. Trident Ursa가 나토 국가의 대규모 석유 정제 회사를 표적으로 삼으려 함에 따라, 사이버 방어자는 침입을 제때 식별할 수 있는 적극적인 방어 능력을 갖추어야 합니다.
Trident Ursa (UAC-0010) 적대 활동 탐지
주로 Armageddon APT, Gamaredon, 또는 Trident Ursa로 알려진 러시아 지원 사이버 스파이 그룹의 악의적 활동이 사이버 위협 환경에서 현재 상승 중입니다. SOC Prime의 Detection as Code 플랫폼은 전 세계 수비수들이 공격을 사전에 예방하고 현재 진행 중인 사이버 전쟁에서 경쟁 우위를 확보하는 데 도움을 주도록 설계되었습니다. SOC Prime은 사이버 전쟁의 최전선에서 싸우며 우크라이나와 그 동맹들이 러시아의 침략으로부터 국가를 보호하면서 Sigma와 MITRE ATT&CK® 기술로 방어 능력을 강화하고 있습니다.
조직이 Trident Ursa의 공격 활동을 제때 식별할 수 있도록 돕기 위해, SOC Prime 플랫폼은 우리의 위협 현상금 콘텐츠 기여자들이 개발한 전용 Sigma 규칙 세트를 출시했습니다. Wirapong Petshagun and Kaan Yeniyol. 최신 MITRE ATT&CK 프레임워크 v12 에 매핑된 이 알고리즘에 즉각 접근하려면 아래 링크를 따라가십시오. 그리고 사이버 위협 맥락에 대해 숙고하십시오:
최신 Trident Ursa 악의적 활동 탐지를 위한 Sigma 규칙
Wirapong Petshagun의 Sigma 규칙은 주요 기법으로 애플리케이션 계층 프로토콜 (T1071)을 사용하는 명령 및 제어 전술을 다루며, Kaan Yeniyol이 작성한 탐지 알고리즘은 실행 전술과 해당하는 예약된 작업/작업 (T1053) 기법을 다룹니다.
SOC Prime 플랫폼은 또한 Gamaredon APT 또는 UAC-0010의 최신 악의적 캠페인을 탐지하기 위한 다른 Sigma 규칙을 큐레이션합니다. 이러한 탐지는 우리의 다작의 위협 현상금 개발자, Kyaw Pyiyt Htet (Mik0yan) 이 작성했으며, 대응하는 부팅 또는 로그온 자동 시작 실행 (T1547)과 레지스트리 수정 (T1112) ATT&CK 기술로 표현된 지속성과 방어 회피 전술을 다룹니다.
위의 모든 Sigma 규칙은 15개 이상의 SIEM, EDR, XDR 솔루션 및 데이터 분석 플랫폼에서 활용될 수 있습니다.
Sigma 및 ATT&CK 기술을 마스터하면서 더 안전한 미래를 위한 기여를 하고 싶습니까? 다음의 위협 현상금 프로그램에 참여하여 미래의 CV를 코딩하고 공유된 전문 지식을 통해 전문가 기술을 연마하고 탐지 콘텐츠를 통해 수익을 올릴 수 있습니다.
UAC-0010 적대 활동의 탐지를 위한 Sigma 규칙의 종합 목록에 접근하려면 탐색 탐지 버튼을 클릭하십시오. 보안 엔지니어는 사용자 정의 태그 “UAC-0010”으로 필터링된 관련 탐지 알고리즘을 확인하고, ATT&CK 맥락, CTI 링크, 이진 파일 등과 같은 메타데이터를 탐색할 수 있습니다.
우크라이나에서 전면전이 발발한 이후, 이 해킹 집단은 다양한 별칭으로 잘 알려져 있는 러시아 소속 해킹 그룹에 의해 지속적으로 사이버 공격을 받고 있습니다. Armageddon APT, Gamaredon, Trident Ursa, Shuckworm, UAC-0010, 및 Primitive Bear. 우크라이나 보안 서비스에 따르면 이 해킹 집단은 러시아 연방 보안국과 연결되어 있으며 사이버 도메인에서 우크라이나 및 나토 동맹국에 대한 정보 활동 및 파괴 활동을 시작하는 것을 목표로 하고 있습니다. 우크라이나 보안 서비스, 해킹 집단이 러시아 연방 보안국과 연결되어 있다고 말했습니다
APT 그룹은 지속적으로 피싱 공격 벡터를 악용하고 있습니다. CERT-UA 사이버 보안 연구원은 이 그룹의 증가하는 악의적 활동에 대해 사이버 수비수의 관심을 끌기 위해 끊임없이 노력하고 있으며, 이들을 UAC-0010으로 식별합니다. 4월과 5월에 위협 행위자는 우크라이나 정부 기관을 주로 대상으로 한 일련의 피싱 공격을 시작했으며, 이들은 GammaLoad.PS1 악성코드와 그 업그레이드된 버전인 GammaLoad.PS1_v2을 활용했습니다. 2022년 8월에는 또 다른 피싱 캠페인에서 GammaLoad와 GammaSteel 페이로드 를 활용해 감염된 시스템을 공격했습니다. 최근 11월 공격에서는 이 해킹 집단이 우크라이나 국가특별통신서비스로 가장한 대량 이메일을 발송하여 HTML 파일이 악성 첨부물로 사용되는 감염 체인을 실행하는 것을 관찰했습니다.
최신 보고서에 따르면 Palo Alto Networks Unit 42 는 Trident Ursa의 적대 활동으로 인한 증가하는 위협에 대한 통찰을 제공합니다. 그들의 연구에 따르면, Unit 42 팀은 우크라이나를 넘어서의 공격 범위를 확장하고 있습니다. 2022년 9월 말, 위협 행위자는 NATO 회원국에 속한 대규모 석유 정제 회사를 손상시키려는 시도에서 실패했으며, 이렇게 함으로써 사이버 최전선에서 갈등을 심화시켰습니다.
악명 높은 러시아 연계 해킹 그룹은 방어 병력에게 어려운 도전을 제시하고 있으며, 적대 TTP를 지속적으로 업그레이드하고 탐지 회피 기법을 강화하고 있습니다. 예를 들어 위협 행위자는 악의적 작업의 복원력을 강화하고 안티 맬웨어 분석 절차를 방해하기 위해 고속 플럭스 DNS 기법을 적용합니다. Trident Ursa가 사용하는 다른 적 기법은 합법적인 웹 서비스와 텔레그램 메신저를 통해 DNS를 우회하고 루트 도메인 대신 서브도메인을 사용하여 악의적 작업에 대한 실제 IP 할당을 숨기는 것입니다.
Trident Ursa는 일반적으로 VBScript 코드를 통해 초기적으로 표적 시스템을 손상시키기 위해 여러 적의 방법을 적용하고, 피싱 유인으로 사용되는 HTML 파일 첨부물을 통해 자주 악성 콘텐츠를 전달합니다.
잠재적 피해 방지 조치로서, Unit 42는 신뢰할 수 있는 DNS 보안 솔루션의 구현과 AS 197695와 통신하는 모든 네트워크 트래픽의 철저한 모니터링을 권장합니다.
Trident Ursa 또는 Gamaredon APT는 적응력이 뛰어난 해킹 단체로, 적대 도구 세트를 지속적으로 확장하고 새로은 난독화 기술을 활용하며 새로운 도메인을 활용하면서, 우크라이나와 그 동맹에게 위협을 주고 있습니다. 공격 능력을 사전에 견디기 위해 우리의 Sigma Rules 검색 엔진 을 탐색하고 현재 및 신규 위협에 대한 가장 관련성 높은 감지와 심층 사이버 위협 정보를 확보하십시오.
