UAC-0006 공격 탐지: CERT-UA 연구 기반의 금융 동기를 가진 그룹 캠페인 개요
목차:
악명 높은 해킹 그룹으로 알려진 UAC-0006 는 2013년부터 우크라이나를 대상으로 주로 금전적 이익을 목적으로 공격 작전을 실행해왔습니다. CERT-UA 연구자들은 최근 그룹의 적대적 활동에 대한 종합 개요를 발표했습니다. 이는 사이버 보안 인식을 높이고 위험을 최소화하기 위한 것입니다. 이 그룹은 악성 소프트웨어인 SmokeLoader 를 활용하여 우크라이나 기업의 계좌에서 돈을 인출함으로써 금융 절도를 저지르기로 악명 높습니다. 우크라이나 사이버 위협 환경에서 가장 금전적으로 동기 부여된 해킹 집단인 UAC-0006은 수비대의 즉각적인 주의가 필요합니다.
CERT-UA 연구에 기반한 UAC-0006 공격 분석
2023년 12월초에, CERT-UA는 심층적인 개요를 발표했습니다. UAC-0006 그룹의 장기적인 사이버 공격을 다루고 있으며 이들은 주당 최대 수백만 흐리브냐의 금액에 달하는 금융 범죄를 저지르려 했습니다.
2023년, UAC-0006은 우크라이나를 대상으로 한 일련의 공격 배후로 관찰되었습니다. 예를 들어 2023년 10월에, UAC-0006은 최소 네 번의 사이버 공격을 수행했습니다. 우크라이나 조직을 대상으로 하여 다시 피싱 공격 벡터를 사용하고, 7월에 활용한 것과 유사한 공격 도구 키트를 사용했습니다.
CERT-UA에 따르면 현재 우크라이나 조직의 사이버 보안 자세는 회계사의 자동화된 워크스테이션의 보호 수준을 강화하기 위해 여전히 상당한 노력이 필요합니다. 이러한 컴퓨터의 취약성은 사이버 범죄 활동으로 인해 상당한 재정 손실을 초래할 수 있습니다.
무단 액세스 및 후속 적대적 제어는 최소 13개의 악성 소프트웨어 및 유틸리티를 무기화하여 수행되며, 여기에는 SmokeLoader (SMOKELOADER), RedLine Stealer (REDLINESTEALER), DanaBot (DANABOT), Lumma Stealer (LUMMASTEALER) 등이 포함됩니다.
감염 체인은 일반적으로 초기 시스템 손상과 SmokeLoader 악성 소프트웨어 전달로 시작됩니다. 공격자는 이를 활용하여 대상 컴퓨터에 다른 프로그램과 모듈을 다운로드하고 실행합니다. 주로 회계사를 대상으로 하는 피싱 캠페인의 정교함에도 불구하고, 해커들은 일반적으로 TALESHOT을 통해 “회계” 컴퓨터를 식별합니다. 이는 컴퓨터에서 실행 중인 창 및 프로그램 프로세스 이름을 분석하고, 주기적으로 스크린샷을 적에게 전송하는 것을 포함합니다. 목표 컴퓨터가 적의 관심을 끌면(금융 기관의 이름, 계좌 잔액 등을 기준으로), RMS, LOADERX3, RDPWRAPPER로 구성된 소프트웨어 번들이 시스템에 다운로드됩니다. 이는 공격자에게 정당한 사용자와 동시에 원격 데스크톱에 숨겨진 모드로 대화형 접근을 제공하여 잠재적인 피해자에 대한 자세한 분석을 제공하게 됩니다.
이어 해커들은 중개 가짜 회사를 식별하는 등 돈 인출 체인을 준비하려 시도합니다. 특정 경우, 운영자는 독립적으로 무단 지불을 시작하거나 이미 준비되고 서명을 기다리는 문서의 계정 정보를 수정할 수 있습니다. 은행에 지불 문서가 전송된 후, 공격자들은 침투를 숨기거나 HANGTHREAD와 같은 특수 소프트웨어를 통해 컴퓨터를 비활성화하여 시간을 벌려고 시도합니다. 후자는 DoS 공격을 실행하는 데 사용되어 계산 자원을 소모시키고 일관된 시스템 중단이나 정지를 일으킵니다.
도난당한 돈을 받는 데 책임이 있는 UAC-0006 그룹의 일원은 은행 직원과의 소통에서 허위 문서와 함께 허위 정보를 제공하여 결제의 합법성을 증명하려 할 수 있습니다.
회계사의 워크스테이션은 많은 양의 수신 이메일과 여러 정보 시스템과의 상호작용을 처리하게 되므로, 침입을 막고 잠재적인 공격 벡터를 줄이는 것이 매우 중요합니다.
위험을 최소화하기 위해, 회계사가 사용하는 컴퓨터에는 Software Restriction Policies(SRP)나 AppLocker를 사용한 “허용 목록” 접근 방식 적용과 같은 특정 사이버 보안 조치를 구현해야 합니다.
우크라이나를 대상으로 한 UAC-0006 공격 탐지
주로 우크라이나 회계사들을 대상으로 하는 금전적 동기 부여 사이버 공격의 증가와 UAC-0006 그룹에 기인함에 따라, 수비대는 사이버 복원력을 강화하고 사이버 보안 인식을 높이기 위해 노력하고 있습니다. SOC Prime Platform은 조직에 UAC-0006의 공격적인 작전에 대한 포괄적인 탐지 콘텐츠 목록을 제공합니다.
클릭 탐지 항목 탐색 UAC-0006 공격 탐지를 위한 Sigma 규칙 전체 컬렉션에 도달합니다. 관련된 메타데이터를 탐색하고 적의 TTPs에 대해 심층적으로 살펴보십시오. 수비대는 또한 탐지 코드를 다중 사이버 보안 언어로 자동 변환하여 크로스 플랫폼 콘텐츠 번역을 원활하게 수행할 수 있습니다.
또한, Uncoder IO 를 오픈 소스 IOC 패키져로 활용하여 최신 CERT-UA 경보에서 UAC-0006 활동을 다루는 IOC를 빠르게 구문 분석하고, 검색 쿼리로 변환하여 환경에서 실행할 준비를 하십시오.
MITRE ATT&CK® 컨텍스트
UAC-0006 그룹에 의해 시작된 최신 사이버 공격의 깊이 있는 컨텍스트를 탐색하기 위해 수비대는 아래 표를 활용할 수 있으며, 이는 ATT&CK에 매핑된 관련 탐지 콘텐츠의 전체 목록과 적대적 TTPs를 다루고 있습니다.
Tactics | Techniques | Sigma Rule |
Initial Access | Phishing: Spearphishing Attachment | |
Phishing: Spearphishing Link (T1566.002) | ||
Execution | Exploitation for Client Execution (T1203) | |
User Execution: Malicious File (T1204.002) | ||
Command and Scripting Interpreter (T1059) | ||
Command and Scripting Interpreter: PowerShell (T1059.001) | ||
Command and Scripting Interpreter: Windows Command Shell (T1059.003) | ||
Command and Scripting Interpreter: Visual Basic (T1059.005) | ||
Command and Scripting Interpreter: JavaScript (T1059.007) | ||
| Masquerading (T1036) | |
Masquerading: Match Legitimate Name or Location (T1036.005) | ||
Masquerading: Double File Extension (T1036.007) | ||
Masquerading: Masquerading File Type (T1036.008) | ||
Subvert Trust Controls: Mark-of-the-Web Bypass (T1553.005) | ||
Obfuscated Files or Information (T1027) | ||
System Script Proxy Execution (T1216) | ||
System Binary Proxy Execution (T1218) | ||
Process Injection: Process Hollowing (T1055.012) | ||
Hide Artifacts: Hidden Window (T1564.003) | ||
Command and Control | Application Layer Protocol: DNS (T1071.004) | |
Ingress Tool Trasfer (T1105) |
