UAC-0050 활동 감지: 해커가 원격 유틸리티를 사용하여 우크라이나 SSSCIP 및 국가 비상 서비스 위장

UAC-0050 그룹이 우크라이나를 공격한 지 약 일주일 조금 지난 후 Remcos RAT, Quasar RAT, Remote Utilities를 활용하여적들은 사이버 위협 무대에 다시 등장했습니다. CERT-UA는 최근 국방자들에게 그룹의 캠페인이 대량 이메일 배포와 우크라이나의 특별 통신 및 정보 보호 서비스(SSSCIP) 및 우크라이나 긴급 서비스로 가장하는 발신자와 관련이 있음을 알렸습니다.

UAC-0050 피싱 공격 설명: Remote Utilities를 사용한 우크라이나에 대한 새로운 공격 활동 

2024년 1월 22일 CERT-UA 팀은 다시 한번 사이버 방어자들의 주의를 끌었습니다. 그들은 UAC-0050 위협 행위자의 증가하는 활동을 강조했습니다. 새로운 보안 경고는 SSSCIP 및 우크라이나 긴급 서비스를 사칭하는 피싱 이메일의 대량 배포를 강조합니다. 확인된 피싱 이메일에는 ‘바이러스 제거’ 또는 ‘대피’와 같은 낚시 주제가 포함되어 있으며 RAR 아카이브와 Bitbucket 웹 서비스 링크가 포함되어 있습니다.

위 언급된 파일 중 하나가 열리면 Bitbucket에서 다운로드한 파일을 포함해 MSI 설치 프로그램이 시작됩니다. 후자는 Remote Utilities 원격 제어 프로그램을 감염된 시스템에 설치합니다. 특히 소프트웨어 구성 파일에는 적대적 C2 서버의 15개 다른 IP 주소가 포함되어 있습니다.

Bitbucket 통계에 따르면 악성 파일은 이미 3,000회 이상 다운로드되었습니다. 그러나 긴급 사이버보안 조치 덕분에 방어자들이 공격을 저지했기 때문에 성공적으로 감염된 컴퓨터의 수는 수십대에 이를 수 있습니다.

CERT-UA#8654 경고에 포함된 UAC-0050 피싱 공격 감지

UAC-0050 그룹으로 인한 우크라이나에 대한 공격 작업이 지속적으로 증가함에 따라 방어자들은 이러한 공격을 예방하기 위해 더욱 정교한 조치를 모색하고 있습니다. SOC Prime의 업계 최초의 집합적 사이버 방어 플랫폼은 UAC-0050 활동과 연결된 적대적 운영을 포함한 새로 떠오르는 사이버 위협에 대한 미래 지향적이고 공급업체에 구애받지 않는 탐지 알고리즘으로 보안 팀을 장비합니다. 아래 링크를 따라 로그인하여 경고 ID와 일치하는 ‘CERT-UA#8654’ 태그로 필터링된 관련 배포 준비가 된 Sigma 규칙 목록에 액세스하십시오:

CERT-UA#8654 경고에서 언급된 UAC-0050 공격 탐지를 위한 Sigma 규칙

UAC-0050 해커와 관련된 기존 및 새로 등장한 위협에 대한 방어를 강화하려면 SOC Prime 플랫폼에서 제공되는 관련 탐지 알고리즘 전체 컬렉션을 활용할 가치가 있습니다. 다음을 눌러 탐지 탐색 이 Sigma 규칙을 MITRE ATT&CK®과 정밀한 CTI로 풍부해지고, 여러 보안 분석 플랫폼의 언어 형식으로 자동 변환할 수 있습니다.

탐지 탐색

Uncoder IO는 보안 엔지니어가 IOCs를 원활하게 탐색하도록 합니다. CERT-UA에서 제공한 위협 인텔을 사용 중인 SIEM 또는 EDR 환경에 맞춘 맞춤형 검색 쿼리로 자동 변환하여 UAC-0050 악의적 활동과 연결된 위협 인텔을 제공함으로써.

MITRE ATT&CK 컨텍스트

MITRE ATT&CK을 활용하면 UAC-0050과 관련된 최신 공격 캠페인의 문맥에 대한 자세한 통찰력을 얻을 수 있습니다. 아래 표에서 ATT&CK 전술, 기술 및 하위 기술과 관련된 전용 Sigma 규칙의 포괄적인 세트를 볼 수 있습니다.