UAC-0057 공격 탐지: PICASSOLOADER 및 Cobalt Strike Beacon 배포에서 나타난 적대적 활동의 급증

Veronika Zahorulko 탐지 시장 분석가

팔로우

Add to my AI research

수비수들은 갑작스러운 적 활동 증가를 관찰했습니다 UAC-0057 해킹 그룹이 우크라이나 지방 정부 기관을 대상으로 하고 있습니다. 공격자는 매크로를 포함한 악성 파일을 배포하여 PICASSOLOADER 를 목표 컴퓨터에 실행시키고, 이로 인해 Cobalt Strike Beacon의 전달로 이어집니다.

CERT-UA#10340 경보에서 다루는 UAC-0057 활동 탐지

전면적인 전쟁이 발발한 이후UAC-0057 해커 집단은 우크라이나 조직을 반복적으로 타겟으로 삼았습니다. 최근 UAC-0057 캠페인을 탐지하고 그룹의 활동을 소급 분석하기 위해, 사이버 수비수들은 집단 사이버 방어를 위한 SOC Prime의 플랫폼을 의지할 수 있습니다. 이는 AI 기반 탐지 엔지니어링, 자동화된 위협 사냥 및 탐지 스택 검증을 위한 완전한 제품군을 제공합니다.

아래 링크를 통해 보안 전문가들은 최신 UAC-0057 활동을 다루는 포괄적인 탐지 스택에 접근할 수 있습니다. 대안적으로, 전문가들은 경보 ID 기반으로 “CERT-UA#10340” 태그로 필터링하여 Threat Detection Marketplace에서 탐지를 검색할 수 있습니다.

CERT-UA#10340 경보 기반의 UAC-0057 공격 탐지를 위한 Sigma 규칙

모든 탐지 알고리즘은 MITRE ATT&CK® 프레임워크에 매핑되어 실행 가능한 CTI와 메타데이터로 강화되었으며, 수십 개의 클라우드 네이티브 및 온프레미스 보안 분석 플랫폼에 배포할 준비가 되어 있습니다.

UAC-0057의 전술, 기술 및 절차를 다루는 더 광범위한 탐지 스택을 얻기 위해, 보안 엔지니어들은 Sigma 규칙 컬렉션에 접근할 수 있습니다 탐지 탐색 버튼을 클릭하여 아래에서

탐지 탐색

The 전용 CERT-UA 경보도 최신 UAC-0057 캠페인과 관련된 공격을 식별하기 위한 IOC 컬렉션을 제공합니다. SOC Prime의 also provides a collection of IOCs to identify attacks related to the most recent UAC-0057 campaign. By relying on SOC Prime’s Uncoder AI를 활용하여 수비수들은 관련 위협 인텔리전스를 선택한 SIEM 또는 EDR의 언어 형식에 맞춘 맞춤형 성능 최적화 쿼리로 즉시 변환하여 IOC 매칭을 간소화할 수 있습니다.

UAC-0057 공격 분석

GhostWriter라는 이름으로도 알려진 UAC-0057 그룹은 2023년 동안 주로 우크라이나 국가 기관을 대상으로 다수의 공격 작전을 수행해왔습니다. 예를 들어, 2023년 9월에 UAC-0057은 악성 캠페인을 시작하여 우크라이나 정부 및 교육 기관을 공격하고, PICASSOLOADER를 제공하기 위해 WinRAR 제로데이(CVE-2023-38831)를 남용했습니다. 2023년 여름에 이 그룹은 충돌된 네트워크에 njRAT를 감염시키기 위해 같은 로더를 사용했습니다.

2024년 7월, CERT-UA는 그룹의 활동이 갑작스럽게 증가한 것을 관찰했습니다. 적들은 악성 매크로를 포함한 파일을 무기로 사용하여 영향을 받은 시스템에 전파했습니다. PICASSOLOADER and Cobalt Strike Beacon on the impacted systems.

에 따르면 최신 CERT-UA 경보 UAC-0057 활동에 대한 경보에 따르면, 매크로가 포함된 드러난 파일의 내용물(“oborona.rar,” “66_oborona_PURGED.xls,” “trix.xls,” “equipment_survey_regions_.xls,” “accounts.xls,” “spreadsheet.xls,” “attachment.xls,” “Podatok_2024.xls”)은 지방 정부 개혁, 과세 및 재정 경제 지표와 관련이 있습니다.

CERT-UA 연구에 따르면, UAC-0057은 우크라이나의 관련 지방 정부 당국의 프로젝트 오피스 전문가와 그들의 동료들을 목표로 삼은 것으로 보입니다.

MITRE ATT&CK 문맥

MITRE ATT&CK을 활용하면 우크라이나 지방 정부 기관을 대상으로 하는 최신 UAC-0057 악성 활동과 관련된 행동 패턴에 대한 광범위한 가시성을 제공합니다. 아래 표를 살펴보면 해당 ATT&CK 전술, 기법 및 하위 기법에 대한 전용 Sigma 규칙의 전체 목록을 확인할 수 있습니다.

Tactics	Techniques	Sigma Rule
Initial Access	Phishing: Spearphishing Attachment (T1566.001)	Unusual Library Loading in Office Process (via image_load)
Initial Access	Exploit Public-Facing Application (T1190)	Possible CVE-2024-23692 (Unauthenticated RCE Flaw in Rejetto HTTP File Server) RCE Exploitation Attempt (via webserver)
Execution	Scheduled Task/Job: Scheduled Task (T1053.005)	Suspicious Scheduled Task (via audit)
		Suspicious Svchost LoLBin Execution (via cmdline)
		Suspicious Scheduled Task Files Access via Rare Image (via file_event)
	Command and Scripting Interpreter: Visual Basic (T1059.005)	Unusual Library Loading in Office Process (via image_load)
	Command and Scripting Interpreter: Python (T1059.006)	Python File Created In Unusual Directory (via file_event)
	Command and Scripting Interpreter: Python (T1059.006)	Python Execution from Suspicious Folders (via cmdline)
Defense Evasion	System Binary Proxy Execution: Mshta (T1218.005)	Suspicious Mshta Execution Without HTA File (via cmdline)
Defense Evasion	Modify Registry (T1112)	Suspicious Operations on Visual Basic Object Model Settings [VBOM] (via registry_event)

SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀사의 비즈니스에 가장 중요한 위협에 대한 가시성을 개선하세요. 시작을 돕고 즉각적인 가치를 제공하기 위해 지금 SOC Prime 전문가와의 회의를 예약하세요.

무료 가입 회의 예약

More 최신 위협 Articles

UAC-0247 공격 탐지: 우크라이나의 병원, 지방 정부 및 FPV 운영자를 목표로 하는 AGINGFLY 악성코드

UAC-0255 공격 탐지: 위협 행위자들이 CERT-UA를 사칭해 AGEWHEEZE RAT로 우크라이나 공공 및 민간 부문 조직을 감염시키다

UAC-0252 공격 탐지: SHADOWSNIFF 및 SALATSTEALER가 우크라이나에서 피싱 캠페인을 가속화