UAC-0020, 버민(Vermin) 공격 탐지: SPECTR 멀웨어와 SyncThing 유틸리티를 사용한 SickSync 캠페인, 우크라이나 군대 표적

The Vermin 해킹 그룹, UAC-0020로도 알려져 있으며, 우크라이나 군대를 목표로 다시 나타났습니다. 우크라이나 군사 사이버 보안 센터와 협력하여 CERT-UA가 발견한 최신 “SickSync” 캠페인에서는 적들이 2019년부터 그들의 적 도구 모음에 속해 있던 SPECTR 맬웨어를 다시 사용하고 있습니다. 

우크라이나 군대를 목표로 하는 SickSync 캠페인: 공격 분석

2024년 6월 6일, CERT-UA는 우크라이나 군사 사이버 보안 센터와 협력하여 UAC-0020 그룹의 악성 활동을 발견하고 조사했습니다. Vermin 으로도 추적된 이 그룹은 2년 전, 2022년 3월 중순에 활동적이었습니다. 러시아의 우크라이나 전면 침공 초기 단계, 그들은 우크라이나 국가 기관을 겨냥한 대규모 스피어 피싱 캠페인 뒤에서 포착되었고 SPECTR 맬웨어를 확산시키려 시도했습니다. 특히, 이 해킹 집단은 자칭 루한스크 인민 공화국과 연관되어 있으며, 우크라이나에 대한 러시아의 사이버 전쟁 노력의 일환으로 모스크바 정부의 지시에 따라 운영되는 것으로 믿어집니다.

최신 캠페인 CERT-UA#9934 알림에서, UAC-0020은 악명 높은 SPECTR 맬웨어와 SyncThing 유틸리티를 활용하여 우크라이나 군대를 목표로 합니다. 이 그룹은 사이버 위협 구현 수단으로 그것을 반부여하여 SPECTR 맬웨어를 반여 년 동안 사용해 왔습니다. 일반적으로 컴퓨터 간의 피어-투-피어 연결을 설정하는 합법적 목적에 많이 사용되는 SyncThing 소프트웨어의 악용에 대해 해커들은 이 도구를 사용하여 표적 컴퓨터에서 데이터를 추출합니다.

감염 흐름은 암호로 보호된 아카이브 첨부 파일이 포함된 피싱 이메일로 시작됩니다. 후자는 “Wowchok.pdf”라는 미끼 파일, InnoSetup 설치 프로그램을 통해 생성된 실행 파일 “sync.exe”, 초기 실행을 위한 BAT 파일 “run_user.bat”를 포함하는 또 다른 RARSFX 아카이브를 포함합니다.

“sync.exe” 파일은 SyncThing 소프트웨어의 정체 구성 요소와 보조 라이브러리 및 스크립트를 포함한 유해한 SPECTR 맬웨어 파일을 모두 포함합니다. 추가적으로, SyncThing 파일들은 디렉터리 이름 변경, 작업 일정 지정 또는 사용자 알림 기능 비활성화를 위해 부분적으로 수정되었습니다.

SPECTR 모듈에는 DLL 파일을 실행하는 SpecMon(“IPlugin” 클래스 포함)이 있으며, 스크린샷을 캡처하는 Screengrabber, 특정 디렉터리 및 USB 드라이브에서 지정된 확장자의 파일을 복사하기 위한 FileGrabber와 Usb 모듈, 다양한 메신저와 인터넷 브라우저에서 인증 및 브라우저 데이터를 훔치는 Social 및 Browsers 모듈이 포함됩니다.

눈에 띄게도, 도난당한 데이터는 %APPDATA%syncSlave_Sync 디렉터리의 하위 폴더에 복사됩니다. 그런 다음 SyncThing의 동기화 기능을 통해 이러한 폴더의 내용은 공격자의 컴퓨터로 전송되어 데이터 추출을 용이하게 합니다.

SickSync 간첩 캠페인의 일환으로 Vermin (UAC-0020) 공격 감지

우크라이나 사이버 위협 영역에서 Vermin (UAC-0020) 해킹 그룹의 재등장은 공공 부문 기관을 주요 목표로 하는 공격을 방어하기 위한 사이버 회복력 및 적극적 방어 조치 강화를 강조합니다. 이러한 배경 하에서 새로운 보안 경고 는 CERT-UA와 우크라이나 군사 사이버 보안 센터에서 발행했으며, SOC Prime은 최근 우크라이나 군대에 대한 스파이 캠페인인 SickSync의 일환으로 Vermin의 최신 활동을 탐지하기 위한 큐레이션된 Sigma 규칙 세트를 발표했습니다

보안 엔지니어는 CERT-UA#9934 알림 ID 또는 SickSync 캠페인 이름을 기반으로 맞춤 태그를 사용하여 관련 탐지 콘텐츠를 쉽게 검색할 수 있습니다. 모든 규칙은 30개 이상의 SIEM, EDR 및 데이터 레이크 솔루션과 호환되며 MITRE ATT&CK® 프레임워크에 매핑됩니다. 전용 콘텐츠 컬렉션으로 드릴다운하려면 탐지 탐색 버튼을 클릭하세요.

탐지 탐색

Vermin TTP의 회고 분석을 수행하기 위한 추가 규칙과 맥락을 위해 사이버 방어자는 “UAC-0020” 및 “Vermin” 태그를 활용할 수도 있습니다. 

알림에 언급된 파일, 호스트 또는 네트워크 IOC를 검색하기 위해 보안 엔지니어는 SOC Prime의 알림에 언급된 파일, 호스트 또는 네트워크 IOC를 검색하기 위해 보안 엔지니어는 SOC Prime의 기능을 활용할 수 있으며, 내장된 IOC 패키저는 위협 인텔리전스를 즉시 선호하는 SIEM 또는 EDR 형식으로 호환 가능한 맞춤 IOC 쿼리로 자동 변환할 수 있습니다. 기능을 활용할 수 있으며, 내장된 IOC 패키저는 위협 인텔리전스를 즉시 선호하는 SIEM 또는 EDR 형식으로 호환 가능한 맞춤 IOC 쿼리로 자동 변환할 수 있습니다. with its built-in IOC packager. It enables automatically converting threat intelligence into custom IOC queries that are instantly compatible with your preferred SIEM or EDR format.

MITRE ATT&CK 컨텍스트

MITRE ATT&CK를 활용하여 사이버 방어자는 우크라이나 군대를 목표로 하는 UAC-0020의 최신 공격 작전의 맥락에 대한 상세한 통찰을 얻을 수 있습니다. 아래 표를 확인하여 관련 ATT&CK 전술, 기법, 하위 기법에 대응하는 특정 Sigma 규칙의 포괄적인 목록을 볼 수 있습니다.