UAC-0056 위협 행위자, 또 다른 피싱 캠페인에서 Cobalt Strike Beacon 악성코드 전달

7월 5일의 사이버 공격에 이어 우크라이나의 국가 기관을 목표로 하며 악명 높은 UAC-0056 해킹 단체에 의해 실행된 이번 공격은 사이버 영역에서 또 다른 소란을 일으켰습니다. 2022년 7월 11일, CERT-UA의 사이버 보안 연구자들은 전 세계 커뮤니티에 우크라이나 전쟁과 관련된 미끼 주제 및 악성 첨부파일을 활용한 진행 중인 피싱 공격에 대해 경고했습니다. 이후의 사이버 공격에서는 위협 행위자들이 다시 한 번 피싱 이메일 공격 벡터를 사용하여 Cobalt Strike Beacon 맬웨어를 배포합니다. 이번에는 악성 이메일이 우크라이나 정부 기관의 피싱된 이메일 계정에서 확산됩니다.  

UAC-0056 그룹 공격 탐지: Sigma 규칙을 통한 적시의 악성 활동 식별

우크라이나를 목표로 한 최신 이메일 캠페인 관련 UAC-0056 해킹 그룹의 악성 활동을 사이버 보안 전문가들이 적시에 식별할 수 있도록, SOC Prime 플랫폼은 아래 링크를 통해 이용 가능한 선택된 탐지 알고리즘 세트를 제공합니다: 

UAC-0056 위협 행위자의 악성 활동을 발견하는 Sigma 규칙

위에서 언급한 Sigma 규칙과 여러 SIEM, EDR, XDR 형식으로의 번역은 등록된 SOC Prime 사용자만 액세스할 수 있습니다.   Sigma 규칙 과 그 변환된 다중 SIEM, EDR, XDR 형식을 포함합니다.  

관련 탐지 콘텐츠를 더 쉽게 빠르게 검색할 수 있도록 모든 Sigma 기반 규칙은 #UAC-0056 로 태그되어 있으며, 관련적 활동을 기반으로 합니다. 또한 탐지 콘텐츠는 관련 사이버 공격의 맥락에 대한 포괄적 가시성을 보장하기 위해 MITRE ATT&CK® 프레임워크 와 정렬되어 해당 적수의 전술 및 기술을 반영했습니다. 관련 맥락을 기반으로 한 위협 맥락을 자세히 알아보려면 UAC-0056의 이메일 캠페인 관련 이전 블로그 글 을 참조하십시오. 

SOC Prime의 플랫폼에 등록된 사이버 보안 전문가들은 또한 Sigma 규칙의 종합적인 목록을 탐색하여 Cobalt Strike Beacon 맬웨어를 탐지할 수 있으며 아래의 Detect & Hunt 버튼을 클릭하여, 산업 최초의 검색 엔진 도구를 통해 보안 팀이 특정 CVE, 맬웨어, APT 또는 익스플로잇을 검색하고 관련된 Sigma 규칙 목록과 Siemens Cobalt Strike Beacon에 대한 모든 관련 검색 결과를 등록하지 않고 찾으십시오. Explore Threat Context 버튼을 클릭하여 볼 수 있습니다.

Detect & Hunt Explore Threat Context

우크라이나 공무원을 겨냥한 UAC-0056의 또 다른 공격에 대한 개요: Cobalt Strike Beacon 맬웨어 배포

가장 최근의 경보 CERT-UA#4941 는 2월 24일에 발생한 대규모 전쟁 으로 인해 우크라이나에서 발생한 인도적 위기와 관련된 주제를 갖춘 악성 이메일의 대규모 배포에 대해 경고합니다. 문제의 이메일은 잠재적인 피해자를 속여 열도록 유인하는 유사한 미끼 파일 이름이 있는 XLS 문서를 첨부파일로 가지고 있습니다. 마지막에는 악성 매크로가 포함되어 있으며, 이 파일이 열릴 경우 실행 파일 “baseupd.exe”를 실행하고 이것이 타겟 시스템에 Cobalt Strike Beacon을 다운로드할 수 있습니다. 

주목할 만한 점은, 최근의 사이버 공격은 이전의 악성 캠페인 과 여러 유사점이 있다는 점입니다. 여기에는 감염 확산을 위해 선택된 맬웨어 종류와 이번 이메일 캠페인을 진행한 사이버 범죄자들이 포함됩니다. 적수의 TTPs를 기반으로, 사이버 공격은 SaintBear라고도 알려진 UAC-0056 해킹 그룹에 기인합니다.

우크라이나를 목표로 한 UAC-0056 위협 행위자들의 악성 활동은 2022년 3월의 피싱 캠페인으로 거슬러 올라가며, 이는 Cobalt Strike Beacon, GrimPlant, GraphSteel 맬웨어 샘플을 확산시켰습니다. 게다가 이러한 위협 행위자들은 또한 악성 WhisperGate 데이터 삭제 맬웨어를 활용하여 우크라이나에 대한 해로운 사이버 공격과 관련이 있습니다. 

이메일 공격 벡터를 활용한 사이버 공격에 대비하기 위해 멀티팩터 인증을 추가적인 이메일 보안 레이어로 적용할 것을 강력히 권장하여 조직이 보다 나은 보호를 보장할 수 있도록 하는 것이 좋습니다.

조직이 SOC Prime의 탐지 및 코드 플랫폼 에 가입하여 위협 복잡성과 데이터 품질 문제를 원활하게 해결할 수 있는 통합 솔루션을 찾으십시오. 위협 수색 및 탐지 엔지니어링 능력을 향상시킬 수 있는 새로운 방법을 찾고 있습니까? 위협 현상금 프로그램 에 참여하여 산업 동료들 사이에서 인정을 받을 수 있는 기회와 자기 발전의 기회를 풍부하게 활용하여 재정적 이익을 지속적으로 얻으십시오. Sigma와 YARA 규칙을 작성하고 이를 커뮤니티와 공유하며 SOC Prime의 크라우드소싱 이니셔티브를 통해 탐지 노력을 수익화하십시오.