UAC-0050 공격 감지: 해커들이 Remcos RAT을 확산시키며 또 다른 표적 캠페인 개시

다음 사건 바로 뒤를 이어 우크라이나 보안 서비스를 사칭한 피싱 공격 및 Remcos RAT을 사용한 해킹 집단으로 식별된 UAC-0050이 피싱 공격 벡터를 활용하여 우크라이나를 대상으로 또 다른 적대적 캠페인을 개시했습니다. 이 공격에서는 15,000명 이상의 사용자를 대상으로 소환장을 법원 주제로 하는 이메일을 대량으로 보내며, 감염된 시스템에 Remcos RAT을 확산시키려는 목적으로 주제를 유인하고 첨부파일을 포함하고 있습니다. 

UAC-0050과 연관된 피싱 공격 분석 및 Remcos RAT 확산

최신 CERT-UA#8150 경고는 UAC-0050 위협 행위자가 배포하는 또 다른 악성 활동을 다룹니다 Remcos RAT 악성코드입니다. 적들은 소환장을 법원 주제로 남용하여 타겟 사용자들을 유인하여 악성 이메일 콘텐츠와 RAR 첨부파일을 열게 합니다. 후자는 DOC 파일과 악성 매크로가 들어 있는 비밀번호로 암호화된 파일을 포함하고 있습니다. 활성화되면 코드 매크로가 탐색기.exe를 통해 SMB 프로토콜로 손상된 기계에서 실행 파일을 실행합니다. 이 EXE 파일은 Remcos RAT을 암호 해독하고 시작하도록 설계된 SmartAssembly .NET 기반 소프트웨어를 사용하여 흐린화됩니다.

특히, 최신 UAC-0050 캠페인은 UAC-0050 최소 15,000명의 사용자를 우크라이나 사법 당국 중 하나의 합법적으로 손상된 이메일 계정을 이용하여 타겟팅합니다. 잠재적인 피해자의 범위를 고려할 때, CERT-UA는 위협을 해결하기 위해 긴급한 조치를 취하는 것이 중요하다고 강조합니다.

CERT-UA#8150 경고에 포함된 UAC-0050 캠페인 탐지

우크라이나에 대한 UAC-0050 공격이 증가함에 따라 방어자들은 위협 탐지 능력을 강화하고 인프라를 적의 침입으로부터 보호할 방법을 모색하고 있습니다. SOC Prime Platform은 최신 CERT-UA 경고에 설명된 UAC-0050 그룹이 수행한 공격을 방지하기 위한 탐지 알고리즘 리스트를 제공합니다. 아래 링크를 사용하여 보안 공지 ID와 일치하는 ‘CERT-UA#8150’ 커스텀 태그로 필터링 된 관련 Sigma 규칙의 목록을 자세히 살펴볼 수 있습니다:

CERT-UA#8150 경고에 포함된 UAC-0050 공격 탐지 콘텐츠 

모든 Sigma 규칙은 MITRE ATT&CK® 프레임워크와 일치하며, 맞춤형 정보로 강화되고 수십 개의 SIEM, EDR, XDR 및 Data Lake 솔루션에 걸쳐 활용할 수 있습니다.

UAC-0050 해킹 집단과 연관된 기존 피싱 공격을 견디기 위한 더 많은 탐지 콘텐츠를 찾고 있습니까? 클릭하세요 탐지 탐색 하여 UAC-0050 공격 탐지를 위한 Threat Detection Marketplace의 SOC 콘텐츠 전체 컬렉션에 액세스하고 항상 적보다 앞서가십시오. 

탐지 탐색

SOC 분석가, 위협 사냥꾼, 그리고 CTI 전문가들은 자동 ICA 포장 기능을 제공하는 Uncoder IO 오픈 서치 IDE에서 탐지 공학을 활용할 수 있습니다. IOCs를 최신 CERT-UA 공지사항에서 붙여넣고 선택한 언어 형식에 맞춘 사용자 정의 검색 쿼리로 즉시 변환하여 UAC-0050 악성 활동을 원활하게 사냥할 수 있습니다.

MITRE ATT&CK 컨텍스트

또한 SOC 팀원들은 CERT-UA#8150 공지사항에 제공된 공격 세부 정보를 탐색할 수 있습니다. 심층 분석을 위해 위에서 언급한 Sigma 규칙과 연결된 모든 적용 가능한 적 전술, 기술, 하위 기술 목록을 찾으려면 아래 표로 이동하십시오: