UAC-0063 공격 탐지: 해커들이 우크라이나 연구 기관을 HATVIBE, CHERRYSPY, CVE-2024-23692로 타깃

전면전 발발 이후, 우크라이나의 전면전 발발 이후, 사이버 방어자들은 우크라이나 국가 기관으로부터 정보를 수집하려는 사이버 첩보 작전의 증가량을 감지했습니다. 동일한 전술, 기술 및 절차가 북미, 유럽 및 아시아를 포함한 광범위한 지역을 대상으로 적용됩니다. 구체적으로, 2023년 5월에 UAC-0063 그룹이 사이버 첩보 작전을 시작했습니다. 우크라이나, 중앙 아시아, 이스라엘 및 인도를 대상으로 하는 사이버 첩보 작전을 시작했습니다. 그리고 이제, CERT-UA의 최근 경고에 따르면, 우크라이나의 연구 기관을 대상으로 같은 해커 집단이 주도하는 지속적인 공격 작전에 대해 사이버 방어자들을 경고하고 있습니다.  CERT-UA#10356 경고에서 설명된 UAC-0063 활동 탐지

UAC-0063 그룹은 다시 사이버 위협 무대에 등장하여 우크라이나의 학술 분야를 겨냥하고 있습니다. 그룹이 다양한 적대적 도구 키트와 초기 공격 흐름에서 여러 감염 벡터를 실험할 수 있는 능력은 적극적인 방어의 필요성을 강조합니다. SOC Prime의 플랫폼은 AI 기반 탐지 엔지니어링, 자동화된 위협 사냥 및 탐지 스택 검증을 위한 완벽한 제품군을 큐레이팅하여 조직이 침투를 제때 감지하고 사이버 보안 태세를 위험 최적화할 수 있도록 지원합니다. 아래 링크를 따라가면 보안 전문가들이 최신 UAC-0063 적대 활동을 다루는 포괄적인 탐지 스택에 즉시 접근할 수 있으며, 이는 경고 ID에 기반하여 “CERT-UA#10356” 태그로 필터링됩니다. 

CERT-UA#10356 경고에 기반한 UAC-0063 공격 탐지를 위한 Sigma 규칙

모든 탐지 알고리즘은

MITRE ATT&CK® 프레임워크에 매핑되어 있으며, 실행 가능한 CTI 및 메타데이터로 풍부하게 구성되어 있으며, 수십 개의 클라우드 네이티브 및 온프레미스 보안 분석 플랫폼에 배포할 준비가 되어 있습니다.  UAC-0063에 기인한 최신 및 지속적인 사이버 공격에 대한 선제적 방어를 위해 보안 엔지니어는 또한아래의

탐지 탐색 버튼을 클릭하여 관련 SOC 콘텐츠에 더 많은 액세스할 수 있습니다.  CERT-UA는

버튼을 클릭하여 관련 SOC 콘텐츠에 더 많은 액세스할 수 있습니다. 

UAC-0063 그룹의 최근 활동과 관련된 위협을 탐지하기 위한 IOCs 콜렉션을 제공했습니다. SOC Prime의 Uncoder AI를 사용하여, 방어자들은 관련 위협 인텔리전스를 바로 맞춤형 성능 최적화 쿼리로 변환하여 선택된 SIEM 또는 EDR의 언어 형식에 맞게 간단히 IOC 매칭을 수행하고, 선택된 환경에서 사냥을 시작할 수 있습니다. UAC-0063의 최신 활동 분석  CERT-UA 연구원들은 UAC-0063 해커 집단과 관련된 새로운 악성 캠페인을 발견했습니다. 적들은 2024년 7월 8일에 우크라이나 연구 기관에 대한 공격을 감행하며 HATVIBE 및 CHERRYSPY 멀웨어를 활용했습니다.

초기 감염 단계에서 직원의 이메일 계정에 액세스한 공격자들은 원본 발신인을 포함하여 수십 명의 수신자에게 최근 발송된 이메일의 사본을 보냅니다. 주목할만하게도, 원래의 첨부 파일은 매크로가 포함된 또 다른 문서로 교체됩니다. 

CERT-UA researchers have DOCX 파일을 열고 매크로를 활성화하면 매크로가 포함된 다른 파일이 생성되어 컴퓨터에서 열립니다. 이 파일은 HATVIBE “RecordsService” 멀웨어의 암호화된 HTA 파일과 악성 샘플 실행을 위해 디자인된 “C:WindowsSystem32TasksvManageStandaloneService” 스케줄된 작업 파일을 생성하고 엽니다. 더 나아가 적들은 “C: ProgramDataPython” 디렉토리로 파이썬 인터프리터와 CHERRYSPY 멀웨어를 다운로드하고 컴퓨터의 숨겨진 원격 제어 기술을 활용합니다. pyArmor로 난독화되었던 이전 멀웨어 버전과는 달리 최신 버전은 .pyd (DLL) 파일로 컴파일되었습니다.

주목할 만하게, 최근 관찰된 UAC-0063 액터의 활동은

APT28 그룹(UAC-0001)

와 관련이 있을 수 있으며, 이는 직접적으로 러시아 군대의 총참모부 본부와 연관되어 있습니다. 또한, 유사한 매크로가 포함된 DOCX 파일이 2024년 7월 16일 아르메니아에서 VirusTotal에 업로드되었으며, 이 파일의 유혹 내용은 아르메니아 공화국 국방부의 국방 정책 부서에 대해 키르기즈 공화국 국방부의 국제군사 협력 부서의 이름으로 작성된 텍스트가 포함되어 있습니다.

게다가, 2024년 6월 동안 방어자들은 HFS HTTP 파일 서버 취약점(아마도 CVE-2024-23692) 악용을 통해 HATVIBE 백도어를 설치하는 여러 사례를 관찰했습니다. 이는 UAC-0063 그룹이 초기 침해를 위한 다양한 공격 벡터를 적용함을 보여줍니다. UAC-0063 침입의 위험을 최소화하기 위해, 방어자들은 이메일 계정에 대한 2단계 인증을 활성화하고, 매크로, mshta.exe 및 기타 잠재적인 위험 소프트웨어(파이썬 인터프리터 포함)의 실행을 차단하는 정책을 적용하며, 현재의 사이버 위협 환경에 일반적인 산업의 모범 사례와 권장 사항을 따를 것을 강력히 권장합니다. MITRE ATT&CK 컨텍스트

MITRE ATT&CK를 활용하면 우크라이나 연구 기관에 대한 최신 UAC-0063 공격과 관련된 행동 패턴에 대한 광범위한 가시성을 제공합니다. 아래 표를 탐색하여 해당 ATT&CK 전술, 기술 및 하위 기술에 대응하는 전용 Sigma 규칙의 전체 목록을 확인하세요.

CERT-UA#10356 경고에서 UAC-0063 활동과 연결된 IOC를 유니코더 AI를 활용하여 사냥하세요.

MITRE ATT&CK Context

Leveraging MITRE ATT&CK provides extensive visibility into the behavior patterns related to the latest UAC-0063 attack against Ukrainian research institutions. Explore the table below to see the full list of dedicated Sigma rules addressing the corresponding ATT&CK tactics, techniques, and sub-techniques.