UAC-0010, 일명 Armageddon APT 공격 탐지: 우크라이나를 겨냥한 그룹의 지속적인 공격 작전 개요
목차:
러시아의 우크라이나에 대한 전면적인 침공 이후, 공격자의 공세 병력은 수천 건의 표적 사이버 공격을 우크라이나에 가했습니다. 가장 지속적인 위협 중 하나는 악명 높은 사이버 첩보 갱단으로 추적된 UAC-0010 (Armageddon)에 속합니다. 이 기사는 2023년 7월 현재 피싱 공격 벡터를 주로 악용한 이 그룹의 대항 활동에 대한 개요를 관련 CERT-UA 연구에 근거하여 제공합니다.
UAC-0010 (Armageddon APT) 공격 설명
우크라이나 관리를 대상으로 한 사이버 공격의 꾸준한 증가와 조직의 주요 IT 인프라 마비를 목표로 하는 공격에 맞서 방어자들은 관련 위협을 예방, 식별 및 시기적절하게 해결하기 위한 효과적인 수단을 구현하고 있습니다. CERT-UA 조사에 따르면, Armageddon aka Gamaredon 으로도 알려진 UAC-0010은 우크라이나의 사이버 최전선에서 가장 지속적인 위협 중 하나로, 안보 및 방위군에 대한 사이버 첩보 활동이 주요 적대 목표입니다. 2014년에 군사 맹세를 깨고 러시아 연방 보안국을 위해 일하기 시작한 우크라이나 보안 서비스 크림 반도 주요 부서의 전직 관계자들이 이 그룹의 공격 캠페인 뒤에 있는 것으로 추정됩니다.
조사된 사건을 바탕으로, 우크라이나 공공 부문 조직의 정보 및 통신 시스템 내 감염된 장치의 수는 수천 개에 이를 수 있습니다. UAC-0010은 주로 초기 공격 벡터로 이메일 배포 또는 Telegram, WhatsApp, Signal 메신저를 활용하며, 이미 손상된 계정을 이용합니다. 초기에 손상된 가장 빈번한 수단 중 하나는 악성 HTM 또는 HTA 파일이 포함된 아카이브를 타겟 사용자에게 보내는 것입니다. 파일을 열면 바로가기가 포함된 아카이브가 생성되며, 이는 감염 체인을 유발합니다.
악성코드 배포를 위해 Armageddon APT는 취약한 이동식 데이터 저장 장치, LNK 파일을 포함한 정당한 파일, 수정된 Microsoft Office Word 템플릿 등을 악용하며, 이는 해커가 해당 시스템에서 생성된 모든 문서를 감염시키기 위해 해당 매크로를 추가할 수 있게 합니다.
추가 공격 단계에서 적들은 GammaLoad 또는 GammaSteel malware를 통해 파일과 사용자 민감 데이터를 탈취할 수 있습니다. 감염의 결과로 취약한 장치는 100개 이상 손상된 파일을 포함할 수 있습니다. 또한, OS 레지스트리 정리나 파일 및 예약된 작업 제거 후 감염된 파일 중 하나가 남아 있을 경우, 컴퓨터가 재발 감염에 걸릴 가능성이 높습니다. 2023년 7월 기준, UAC-0010은 데이터 탈출과 원격 코드 실행을 수행하기 위해 PowerShell 명령을 적용하고, 실시간 원격 액세스를 위해 Anydesk 유틸리티를 사용합니다.
적들은 탐지 회피 및 보안 보호 우회를 목표로 자신들의 공격력을 계속 강화하고 있습니다. 예를 들어, 이들은 두 요소 인증을 우회하기 위한 특정 PowerShell 시나리오를 적용합니다. DNS 서브 시스템 사용을 피하기 위해, Telegram의 서드파티 서비스를 이용해 관리 서버의 IP 주소를 식별하고, 중간 제어 노드의 IP 주소를 하루에 여러 번 변경하는 경향이 있습니다.
잠재적인 완화 조치로, CERT-UA 연구원들은 mshta.exe, wscript.exe, cscript.exe, powershell.exe와 같은 특정 유틸리티의 실행 제한을 조직의 시스템에 도입할 것을 권장합니다. Starlink를 사용하여 인터넷 연결을 설정하는 장치는 UAC-0010 악성 활동에 노출될 가능성이 더 큽니다.
우크라이나를 공격하는 UAC-0010 aka Armageddon 러시아 APT 지속적인 캠페인 감지
UAC-0010 러시아 연계 해킹 그룹이 시작한 공격 작전의 증가는 우크라이나와 그 동맹국의 공격 방어를 효과적으로 돕기 위해 방법을 모색하는 방어자들의 즉각적인 주의를 요구합니다. 소시오 프라임 플랫폼은 집단 사이버 방어를 위해 “UAC-0010″이라는 관련 태그로 필터링된 UAC-0010 공격 탐지를 위한 포괄적인 Sigma 규칙 목록을 큐레이트합니다.
위에서 언급한 검증된 경고 및 사냥 쿼리에 대한 자세한 내용을 확인하려면 “탐지 탐색” 버튼을 눌러 보안 필요에 맞춘 Sigma 규칙을 선택하고, 조직의 특정 로그 소스를 커버하십시오. 모든 탐지 알고리즘은 MITRE ATT&CK 프레임워크 v12에 맞추어 적절한 TTP 주소를 처리하며, 조직에서 사용 중인 여러 SIEM, EDR, XDR 기술에서 활용할 수 있습니다.
방어자들은 또한 UAC-0010 위협과 관련된 및 해당 CERT-UA 보고서와 SOC Prime의 Uncoder AI 에 나열된 IOC를 활용하여 즉시 수색을 실행할 수 있으며, 이를 통해 팀은 클릭 몇 번만으로 커스터마이징된 IOC 쿼리를 생성하고 선택된 SIEM이나 EDR 환경에서 자동으로 작업할 수 있습니다.
다음에 등록하세요. SOC Prime 플랫폼 에서 현재 사이버 방어를 위한 도구를 선택하십시오. 기존 및 신흥 위협에 대한 세계 최대의 Sigma 규칙 컬렉션을 탐험하고, 선택한 콘텐츠 뒤에 있는 사이버 위협 컨텍스트를 탐구하고, 탐지를 사용자 데이터 스키마에 맞추고 Uncoder AI로 실시간으로 언어 형식으로 변환하거나 전체 감지 스택을 몇 초 내에 검증하여 탐지 커버리지의 블라인드 스팟을 원활하게 식별하고 콘텐츠 우선순위 기반의 위협 스캔을 수행하십시오.
