UAC-0057 공격 탐지: PICASSOLOADER 및 Cobalt Strike Beacon 배포에서 나타난 적대적 활동의 급증

수비수들은 갑작스러운 적 활동 증가를 관찰했습니다 UAC-0057 해킹 그룹이 우크라이나 지방 정부 기관을 대상으로 하고 있습니다. 공격자는 매크로를 포함한 악성 파일을 배포하여 PICASSOLOADER 를 목표 컴퓨터에 실행시키고, 이로 인해 Cobalt Strike Beacon의 전달로 이어집니다. 

CERT-UA#10340 경보에서 다루는 UAC-0057 활동 탐지

전면적인 전쟁이 발발한 이후UAC-0057 해커 집단은 우크라이나 조직을 반복적으로 타겟으로 삼았습니다. 최근 UAC-0057 캠페인을 탐지하고 그룹의 활동을 소급 분석하기 위해, 사이버 수비수들은 집단 사이버 방어를 위한 SOC Prime의 플랫폼을 의지할 수 있습니다. 이는 AI 기반 탐지 엔지니어링, 자동화된 위협 사냥 및 탐지 스택 검증을 위한 완전한 제품군을 제공합니다. 

아래 링크를 통해 보안 전문가들은 최신 UAC-0057 활동을 다루는 포괄적인 탐지 스택에 접근할 수 있습니다. 대안적으로, 전문가들은 경보 ID 기반으로 “CERT-UA#10340” 태그로 필터링하여 Threat Detection Marketplace에서 탐지를 검색할 수 있습니다. 

CERT-UA#10340 경보 기반의 UAC-0057 공격 탐지를 위한 Sigma 규칙

모든 탐지 알고리즘은 MITRE ATT&CK® 프레임워크에 매핑되어 실행 가능한 CTI와 메타데이터로 강화되었으며, 수십 개의 클라우드 네이티브 및 온프레미스 보안 분석 플랫폼에 배포할 준비가 되어 있습니다. 

UAC-0057의 전술, 기술 및 절차를 다루는 더 광범위한 탐지 스택을 얻기 위해, 보안 엔지니어들은 Sigma 규칙 컬렉션에 접근할 수 있습니다 탐지 탐색 버튼을 클릭하여 아래에서

탐지 탐색

The 전용 CERT-UA 경보도 최신 UAC-0057 캠페인과 관련된 공격을 식별하기 위한 IOC 컬렉션을 제공합니다. SOC Prime의 also provides a collection of IOCs to identify attacks related to the most recent UAC-0057 campaign. By relying on SOC Prime’s Uncoder AI를 활용하여 수비수들은 관련 위협 인텔리전스를 선택한 SIEM 또는 EDR의 언어 형식에 맞춘 맞춤형 성능 최적화 쿼리로 즉시 변환하여 IOC 매칭을 간소화할 수 있습니다.

UAC-0057 공격 분석

GhostWriter라는 이름으로도 알려진 UAC-0057 그룹은 2023년 동안 주로 우크라이나 국가 기관을 대상으로 다수의 공격 작전을 수행해왔습니다. 예를 들어, 2023년 9월에 UAC-0057은 악성 캠페인을 시작하여 우크라이나 정부 및 교육 기관을 공격하고, PICASSOLOADER를 제공하기 위해 WinRAR 제로데이(CVE-2023-38831)를 남용했습니다. 2023년 여름에 이 그룹은 충돌된 네트워크에 njRAT를 감염시키기 위해 같은 로더를 사용했습니다. 

2024년 7월, CERT-UA는 그룹의 활동이 갑작스럽게 증가한 것을 관찰했습니다. 적들은 악성 매크로를 포함한 파일을 무기로 사용하여 영향을 받은 시스템에 전파했습니다.  PICASSOLOADER and Cobalt Strike Beacon on the impacted systems. 

에 따르면 최신 CERT-UA 경보 UAC-0057 활동에 대한 경보에 따르면, 매크로가 포함된 드러난 파일의 내용물(“oborona.rar,” “66_oborona_PURGED.xls,” “trix.xls,” “equipment_survey_regions_.xls,” “accounts.xls,” “spreadsheet.xls,” “attachment.xls,” “Podatok_2024.xls”)은 지방 정부 개혁, 과세 및 재정 경제 지표와 관련이 있습니다.

CERT-UA 연구에 따르면, UAC-0057은 우크라이나의 관련 지방 정부 당국의 프로젝트 오피스 전문가와 그들의 동료들을 목표로 삼은 것으로 보입니다.

MITRE ATT&CK 문맥

MITRE ATT&CK을 활용하면 우크라이나 지방 정부 기관을 대상으로 하는 최신 UAC-0057 악성 활동과 관련된 행동 패턴에 대한 광범위한 가시성을 제공합니다. 아래 표를 살펴보면 해당 ATT&CK 전술, 기법 및 하위 기법에 대한 전용 Sigma 규칙의 전체 목록을 확인할 수 있습니다.