UAC-0020 (Vermin) 활동 탐지: 쿠르스크 전선 포로 주제를 악용한 새로운 피싱 공격과 FIRMACHAGENT 악성코드 사용

[post-views]
8월 21, 2024 · 3 분 읽기
UAC-0020 (Vermin) 활동 탐지: 쿠르스크 전선 포로 주제를 악용한 새로운 피싱 공격과 FIRMACHAGENT 악성코드 사용

The Vermin 해킹 집단, 또한 UAC-0020으로 추적되는 이 집단은 우크라이나를 표적으로 새로운 공격 도구인 FIRMACHAGENT를 사용하여 다시 나타났습니다. 최신 공격에서 적들은 전쟁 포로와 관련된 주제로 사기를 유도하는 이메일을 전파하기 위해 피싱 공격 벡터를 활용합니다.

UAC-0020 aka Vermin 공격 분석 FIRMACHAGENT 사용

2024년 8월 19일, CERT-UA 팀은 새로운 사이버 보안 경보를 발표했습니다CERT-UA#10742, UAC-0020 해킹 그룹, 즉 Vermin으로 알려진 집단의 재등장을 사이버 위협 무대에서 다루고 있습니다. 특히, 몇 달 전 Vermin은 “SickSync” 캠페인을 우크라이나 군대에 대한 SPECTR 악성코드를 사용하여, 2022년 3월 중순에 우크라이나 정부 및 군 기관을 대상으로 주요 도구 중 하나로 사용되었습니다. 최신 캠페인에서 공격자들은 공격 도구킷의 일반적인 SPECTR 악성코드에 더하여 새로운 공격 도구인 FIRMACHAGENT 악성코드를 활용합니다.

감염 흐름은 전쟁 포로를 주제로 하는 피싱 이메일에서 시작되며, 악성 ZIP 아카이브 링크가 포함되어 있습니다. 아카이브에는 “list_of_inactive_vice_chairs_kursk.chm”이라는 CHM 파일이 포함되어 있으며, 이는 모호화된 PowerShell 스크립트 실행을 트리거하는 JavaScript 코드가 있는 HTML 파일을 포함합니다. 이는 문서, 스크린샷 또는 브라우저 데이터와 같은 민감한 데이터를 훔치는 SPECTR 악성코드의 구성 요소를 다운로드하도록 설계되었습니다. 새로운 공격 도구의 주요 기능은 훔친 데이터를 명령 서버로 업로드하는 것입니다. 또한 공격자는 SPECTR 플러그인과 FIRMACHAGENT를 관리하는 오케스트레이터 “IDCLIPNET_x86.dll”을 실행하기 위해 예약 작업을 설정하는 데 이 도구를 사용합니다.

공격 표면을 줄이기 위해 조직은 사용자 계정 권한을 제한하고, 관리자 그룹에서 제거하고, 사용자가 CHM 파일과 powershell.exe를 실행하지 못하도록 관련 정책을 구현하는 것이 좋습니다.

CERT-UA#10742 경고에 다룬 UAC-0020 공격 탐지

UAC-0020(또는 Vermin으로도 알려진) 해킹 그룹이 우크라이나 정부 및 군 조직을 표적으로 해로운 도구셋을 계속 향상함에 따라, 보안 전문가들은 실시간으로 이러한 위협을 탐지하고 대항할 수 있는 신뢰할 수 있는 방법을 모색하고 있습니다. SOC Prime Platform은 최신 UAC-0020 공격을 식별하기 위한 전용 Sigma 규칙 세트를 제공하며, 자동화된 위협 사냥, AI 기반 탐지 엔지니어링 및 고급 위협 탐지를 위한 전체 제품군과 함께 제공됩니다.

CERT-UA#10742 경고에 다룬 UAC-0020 공격 탐지를 위한 Sigma 규칙

모든 규칙은 30개 이상의 SIEM, EDR 및 데이터 레이크 솔루션과 호환되며, MITRE ATT&CK® 프레임워크 v.14.1에 매핑되어 있습니다. 또한 위협 조사를 간소화하기 위해 탐지는 위협 인텔 참조, 공격 타임라인 및 우선순위화 권장 사항을 포함한 세부적인 CTI 및 운영 메타데이터로 보강됩니다. 위의 링크를 통해 탐지 스택에 액세스하거나 맞춤 “CERT-UA#10742” 태그를 기반으로 Threat Detection Marketplace를 간단히 탐색하세요.

더 넓은 UAC-0020 탐지 범위를 찾고 있는 사이버보안 전문가들은 탐지 탐색 버튼을 클릭하여 적대적인 TTP 및 행동 패턴을 다루는 규칙 컬렉션으로 즉시 정보에 접근할 수 있습니다.

탐지 탐색

또한 조사를 원활하게 진행하기 위해 사이버 방어자는 Uncoder AI에 의존해 탐지 엔지니어링의 업계 최초 AI 조종사로서 IOCs를 즉시 사냥할 수 있으며, CERT-UA#10742 경고에 제공된 IOCs를 Uncoder AI에 붙여 넣고 사용 중인 SIEM 또는 EDR과 일치하는 맞춤 쿼리로 원활하게 변환할 수 있습니다.

Uncoder AI를 통해 CERT-UA#10742 경고에서 IoC를 맞춤형 사냥 쿼리로 변환하기

MITRE ATT&CK 문맥

MITRE ATT&CK을 활용하면 최신 UAC-0020 공격과 관련된 행동 패턴에 대한 광범위한 가시성을 제공합니다. 아래 표를 참조하여 해당 ATT&CK 전술, 기술 및 하위 기술을 다루는 전용 Sigma 규칙의 전체 목록을 확인하세요.

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.
무료 가입하기 미팅 예약하기

관련 게시물

UAC-0226 공격 탐지: 우크라이나의 혁신 허브 및 정부 기관을 겨냥한 GIFTEDCROOK 스틸러 사이버 스파이 캠페인
블로그, 최신 위협 — 3 분 읽기
UAC-0226 공격 탐지: 우크라이나의 혁신 허브 및 정부 기관을 겨냥한 GIFTEDCROOK 스틸러 사이버 스파이 캠페인
Veronika Telychko
UAC-0219 공격 탐지: 새로운 사이버 스파이전 캠페인 – PowerShell Stealer WRECKSTEEL 사용
블로그, 최신 위협 — 3 분 읽기
UAC-0219 공격 탐지: 새로운 사이버 스파이전 캠페인 – PowerShell Stealer WRECKSTEEL 사용
Veronika Telychko
UAC-0200 공격 탐지: 다크크리스탈 RAT을 사용한 우크라이나군 및 방위 산업 분야를 노리는 사이버 스파이 활동
블로그, 최신 위협 — 3 분 읽기
UAC-0200 공격 탐지: 다크크리스탈 RAT을 사용한 우크라이나군 및 방위 산업 분야를 노리는 사이버 스파이 활동
Veronika Telychko