UAC-0050 공격 탐지: 러시아 지원 APT, 우크라이나를 대상으로 사이버 스파이, 금융 범죄 및 허위 정보 작업 수행

The UAC-0050 해킹 집단 우크라이나에 대한 오랜 공격 작전으로 악명 높은 이 그룹은 사이버 위협 무대로 다시 들어오고 있습니다. CERT-UA 연구원들은 정보 사이버 스파이, 금융 절도, ‘Fire Cells Group’ 브랜드로 추적되는 정보 및 심리 작전에 중점을 두고 이 그룹의 활동을 오랫동안 조사해 왔습니다. 최근 관찰된 금융 동기 범죄도 이에 연관되어 있습니다. UAC-0006 해킹 그룹.

UAC-0050 공격 작전 탐지

러시아 연계 해킹 집단의 우크라이나 기관에 대한 사이버 공격이 더 빈번하고 정교해짐에 따라, 조직들은 잠재적인 침입을 사전에 방어할 수 있는 신뢰할 수 있는 탐지 자원이 필요합니다. UAC-0050 및 UAC-0006과의 협업으로 인한 증가하는 위협은 주로 사이버 스파이 활동, 금전적 이득, 및 우크라이나에 대한 기타 사이버 공격 활동에 중점을 두고 있으며, 방어자들에게 높은 수준의 경계와 초반 대응을 요구합니다. SOC Prime 플랫폼 집단 사이버 방어를 위한 제공 내용은 관련 CERT-UA 연구에서 다뤄진 사이버 공격을 사전에 방어할 수 있도록 보안팀에 전체 탐지 스택을 장비합니다.

클릭하세요 탐지 탐색 버튼을 눌러 MITRE ATT&CK® 프레임워크에 매핑된 시그마 규칙의 전용 컬렉션에 액세스하세요. MITRE ATT&CK® 프레임워크와 부가 정보가 담긴 자료입니다. 이 자료는 30개 이상의 SIEM, EDR, 데이터 레이크 언어 형식으로 변환할 수 있습니다.

탐지 탐색

보안 엔지니어는 상기한 적의 활동과 관련된 사이버 공격을 방어하기 위해 SOC Prime 플랫폼에서 더 많은 탐지 콘텐츠를 적절한 “UAC-0050” and “UAC-0006” 태그를 사용하여 접근할 수 있습니다.

추가로 사이버 방어자들은 Uncoder AI 를 신뢰하여 UAC-0050 및 UAC-0006 활동과 관련된 파일, 네트워크, 호스트 IOC를 즉시 검색할 수 있습니다. CERT-UA 경보. Uncoder AI에 IOC를 붙여넣어 실시간 SIEM 또는 EDR 환경에서 실행할 준비가 된 성능 사용자 정의 쿼리를 자동으로 변환하세요.

“Fire Cells Group”로 브랜드화된 UAC-0050 공격 분석

UAC-0050은 2020년 이후 활동하며 주로 우크라이나 국가 기관을 대상으로 하는 러시아 관련 해킹 그룹입니다. 피싱 캠페인을 통해 Remcos RAT 악성코드를 배포하며, 주로 우크라이나 안전부 로 가장하여 악성 첨부파일이 포함된 이메일을 보냅니다. Remcos RAT 외에도 이 그룹은 Quasar RAT 및 원격 유틸리티 를 우크라이나와 그 동맹국을 상대로 한 캠페인에 활용하고 있습니다.

CERT-UA는 최근 새 연구를 발표하여 UAC-0050의 공격 작전을 관찰했습니다. 주로 사이버 스파이, 금전적 이득, 및 “Fire Cells Group”으로 알려진 그룹의 사이버 활동에 초점을 맞추고 있습니다. 2024년 9월과 10월 동안 UAC-0050은 최소 30회의 불법 접근 시도를 하였으며, 회계사 컴퓨터를 대상으로 하여 우크라이나 회사와 개인 사업자들로부터 자금을 탈취하려고 했습니다. 이러한 공격은 원격 은행 시스템을 통해 금융 거래를 생성하거나 조작하는 방식으로 이루어졌습니다. 탈취 시점부터 절도까지의 시간은 며칠에서 몇 시간에 불과했습니다. UAC-0050과 2013년부터 활동해 온 다른 해킹 집단인 REMCOS/TEKTONITRMS 소프트웨어를 사용하여 이러한 절도에 주로 관여하고 있습니다. 대부분의 경우, 도난당한 자금은 암호화폐로 변환됩니다. UAC-0006그룹은 주로 금전적 이득을 목적으로 하는 작전으로 악명이 높으며, 원격 은행 서비스에 접근하여 인증 정보를 탈취하고 불법 결제를 수행하는 등의 공통된 행동 패턴을 보여줍니다.

자신들의 범죄 활동을 자금으로 지원할 수 있는 능력은 UAC-0050과 UAC-0006이 사이버 공격을 강화하고 다양한 도구, 라이선스 소프트웨어를 포함하여 추가적인 위협을 수행할 수 있도록 합니다. 이는 그들이 REMCOS, TEKTONITRMS, MEDUZASTEALER, LUMMASTEALER, XENORAT, SECTOPRAT, MARSSTEALER, DARKTRACKRAT 등을 사용하는 이유를 설명합니다.

또한 “Fire Cells Group” 브랜드 하에 수행된 정보 및 심리 작전, 예를 들어 허위 폭탄 위협, 계약 살인, 또는 재산 위협 등이 UAC-0050의 활동에 포함된 것으로 식별되었습니다.

UAC-0050 공격을 완화하기 위해, 금융 기관 고객들은 결제 확인을 위한 기술적 방법을 구현하고 모바일 앱을 통해 추가 인증을 사용하는 것을 권장합니다. 원격 은행 시스템을 이용하는 회계 담당자는 추가 결제 인증이 활성화되기 전까지 금융 거래를 자제하고, SRP/AppLocker 같은 소프트웨어 제한 정책과 보호 소프트웨어를 활성화할 것을 CERT-UA는 권고합니다. 조직들이 시기적절하게 사이버 스파이 작전, 금전적 동기의 위협, 기타 모든 수준의 공격에 대처할 수 있도록 돕기 위해 SOC Prime은 AI 기반 탐지 엔지니어링, 자동화된 위협 사냥, 및 고급 위협 탐지를 위한 완전한 제품군 을 제공합니다. 이를 통해 사전 방어가 가능합니다.

MITRE ATT&CK 맥락

MITRE ATT&CK를 활용하여 UAC-0050과 관련된 최근 CERT-UA 보고서에 포함된 가장 공격적인 작전의 맥락에 대한 상세한 통찰을 제공합니다. 아래 표에서 관련 ATT&CK 전술, 기술, 서브 기술을 다루는 전용 시그마 규칙들을 확인하시기 바랍니다.