UAC-0050 피싱 공격 탐지: 러시아 지원 그룹, 세금 관련 피싱 이메일 대량 확산 및 LITEMANAGER 악용

악명 높은 해킹 그룹 UAC-0050, 우크라이나에 대한 지속적인 피싱 공격으로 알려진 이 그룹은 최근 우크라이나 국세청에서의 요청을 모방한 PDF 첨부 파일이 포함된 세금 관련 스푸핑 이메일을 대량으로 배포하고 LITEMANAGER 도구를 사용하여 표적 시스템에 무단 원격 액세스를 시도하는 것으로 관찰되었습니다.

CERT-UA#11776 경고에 포함된 UAC-0050 피싱 공격 탐지

피싱을 공격 벡터로 사용하고 있는 러시아 UAC-0050 해킹 그룹과 연결된 금전적 동기의 위협이 증가함에 따라 보안팀은 사이버 보안 인식을 향상시키고 조직의 방어력을 강화해야 합니다. 무단 원격 액세스를 위해 LITEMANAGER를 활용한 UAC-0050의 공격을 저지하기 위해 최신 CERT-UA#11776 연구, SOC Prime Platform은 관련 탐지 알고리즘의 전용 목록을 큐레이션했습니다.

버튼을 눌러 탐지 탐색 하여 관련 Sigma 규칙의 전체 컬렉션을 심층적으로 살펴보고, MITRE ATT&CK® 과 정교한 CTI 및 운영 메타데이터로 풍부하게 보강되어 있으며, 30개 이상의 SIEM, EDR 및 데이터 레이크 솔루션과 호환되는 선택한 언어 형식에 즉시 배포할 수 있습니다., enriched with tailored CTI and operational metadata, and ready to deploy in the chosen language format compatible with 30+ SIEM, EDR, and Data Lake solutions. 

탐지 탐색

UAC-0050에 속하는 사이버 첩보 캠페인과 금전적 동기의 위협이 증가함에 따라, 보안 엔지니어는 그룹의 공격으로부터 조직의 인프라를 보호하기 위해 더 많은 탐지 콘텐츠를 찾을 수 있습니다. “” 커스텀 태그를 사용하여 위협 탐지 마켓플레이스에서 관련 탐지를 직접 검색함으로써 보안팀은 그룹의 지속적인 활동에 대한 사전 방어를 강화할 수 있습니다.UAC-0050”

보안팀은 또한 Uncoder AI 를 활용하여 관련 CERT-UA 연구에서 UAC-0050 위협 관련 IOC를 빠르게 매칭하고 탐색할 수 있습니다. Uncoder AI는 비바이너리 형식의 IOC를 선택한 SIEM 또는 EDR 형식에 맞는 맞춤형 탐색 쿼리로 자동 변환할 수 있게 합니다.

UAC-0050 공격 설명 – LITEMANAGER 사용

CERT-UA 연구원들은 러시아와 연결된 UAC-0050 그룹 의 장기적인 활동을 철저히 모니터링하고 있으며 최근에는 그 기본 활동에 대한 심층 조사 를 발행하여 주요 공격 활동 세 가지 영역인 사이버 첩보, 금융 절도 및 “Fire Cells Group” 브랜드로 알려진 허위 정보 작전을 강조했습니다.

UAC-0050은 2020년부터 활동 중인 러시아와 연결된 해킹 그룹으로, 주로 우크라이나의 공공 부문과 그 국가의 동맹국을 표적으로 삼고 있습니다. 공격자들은 피싱 캠페인을 사용하여 Remcos RAT같은 악성 소프트웨어를 배포하며, 주로 우크라이나 정부 기관을 사칭하여 악성 첨부 파일이 포함된 스푸핑 이메일을 보냅니다. 주목할 점은, 이들이 원격 관리 도구, 예를 들어 UAC-0050 Remote Utilities 소프트웨어 를 대규모로 무기로 삼고 있다는 것입니다., in their campaigns against Ukraine. 

최근 CERT-UA 경고 CERT-UA#11776 은 우크라이나 국세청의 요청을 가장한 PDF 첨부 파일이 포함된 대규모 세금 관련 피싱 이메일 분배를 밝혀냈습니다. 이 지속적인 캠페인은 금전적 동기가 있으며, 주로 원격 은행 시스템을 사용하는 회사 회계사를 표적으로 하고 있습니다. 컴퓨터 포렌식 분석이 보여주는 것처럼, 초기 감염부터 자금 도난까지의 시간이 한 시간 이내일 수 있는 경우도 있습니다.

피싱 공격 벡터를 통해 발송된 무기화된 첨부 파일에는 파일 공유 서비스(qaz.im, qaz.is, qaz.su)로 연결되는 링크가 포함되어 있으며, 이를 따를 경우 악성 아카이브가 다운로드됩니다. 후자는 여러 중첩된 레벨을 갖춘 비밀번호 보호 아카이브 “세금 서비스 문서 요청서.pdf.rar”을 포함하고 있으며, 그와 함께 “세금 서비스 문서 요청서.pdf.exe”라는 SFX 파일이 납니다.

후자를 열면 우회 문서가 표시되고 컴퓨터에서 LITEMANAGER 원격 관리 소프트웨어의 MSI 패키지가 실행되어 시스템의 비밀 원격 액세스를 위한 기술적 조건이 조성됩니다.

UAC-0050의 금전적 동기의 공격에 대한 잠재적 완화 조치는 운영 체제에 내장된 보안 조치를 구성하고 일회용 코드를 통해 회계사 작업을 인증하기 위한 은행 정보 시스템의 인증 기능을 완전히 활용하는 것을 포함할 수 있습니다.

SOC Prime의 완전한 제품군 은 AI 기반 탐지 엔지니어링, 자동 위협 사냥, 고급 위협 탐지를 위한 보안팀에 포괄적인 솔루션을 제공하여 금전적 동기가 있는 위협과 데이터 침해의 위험을 최소화할 수 있는 능동적인 방어를 갖추도록 합니다.

MITRE ATT&CK 컨텍스트

MITRE ATT&CK을 활용하여 LITEMANAGER를 악용하는 최신 UAC-0050 공격의 맥락에 대한 상세한 통찰을 제공합니다. 아래 표를 참조하여 해당 ATT&CK 전술, 기술 및 하위 기술을 다루는 전용 Sigma 규칙 세트를 확인하세요.