UAC-0063 사이버 첩보 활동 탐지: 해커들이 우크라이나, 카자흐스탄, 키르기스스탄, 몽골, 이스라엘, 인도의 조직을 대상으로 정보 수집

우크라이나에서 전면전 발발 이후, 사이버 수비대는 증가하는 사이버 스파이 캠페인 을 우크라이나 국가 기관들로부터 정보를 수집하는 것을 목표로 한 것으로 확인했습니다.

2023년 5월 22일, CERT-UA 연구원들은 새로운 경고를 발표하였습니다 우크라이나의 한 국가 기관의 정보 및 통신 시스템을 목표로 한 진행 중인 사이버 스파이 캠페인에 대해 전 세계 사이버 수비대 커뮤니티에 경고했습니다. 이러한 공격에서 해커들은 전자 메일 공격 벡터를 사용하여 발신자를 우크라이나 주재 타지키스탄 대사관으로 위장한 가짜 이메일 몇 개를 전파했습니다. 적대자의 활동은 UAC-0063으로 추적되는 사이버 스파이 해킹 그룹에 의해 수행된 것으로, 이 그룹은 또한 중앙아시아, 이스라엘 및 인도 내 조직들을 목표로 하는 것으로 알려져 있습니다.

CERT-UA#6549 경고에서 다루는 UAC-0063 사이버 스파이 공격 분석

최신 CERT-UA#6549 경고 는 우크라이나 국가 기관들을 표적으로 한 진행 중인 사이버 스파이 캠페인이 UAC-0063 위협 행위자들의 활동과 연관되어 있음을 지적합니다. 연구원들에 따르면, 이 해킹 집단은 2021년부터 악성 분야에서 주목받고 있으며, 주로 표적화된 사이버 정보와 파괴적 활동을 수행하고 있습니다. 최신 캠페인에서 적대자들은 이메일 공격 벡터를 사용하여 피해자들이 정보 수집을 위한 악성 매크로가 포함된 첨부 파일을 열거나 악성 문서로의 직접 링크를 따라가도록 유도했습니다.

감염 체인은 문서를 다운로드하고 악성 매크로를 활성화함으로써 시작되며, 이는 DOCX 파일을 생성하고 여는 것으로 이어집니다. 후자는 “SoftwareProtectionPlatform”이라는 악성 파일을 생성하기 위한 매크로를 만들어내는데 이는 VBScript로 인코딩된 로더 HATVIBE로 식별되며, 해당 파일의 실행을 위한 예약 작업과 함께 배포됩니다.

추가 조사는 2023년 4월 25일에 손상된 시스템이 전체 로그파이 키로거와 CHERRYSPY 백도어 등 추가 악성 소프트웨어에도 감염되었음을 밝혀냈습니다. 후자는 원격 서버로부터 수신된 파이썬 코드를 실행하기 위한 것입니다. 위협 행위자들은 PyArmor와 Themida를 포함한 고급 코드 암호화 및 난독화 메커니즘을 적용하여 분석 방지 보호를 마련했습니다. 게다가 공격자들은 LOGPIE 키로거의 결과를 처리하는 등의 파일 검색 및 추출을 위한 C++ 파일 스틸러 STILLARCH를 활용했습니다.

유사한 행동 패턴과 관련 파일의 분석을 기반으로, UAC-0063 사이버 스파이 그룹은 또한 카자흐스탄, 키르기스스탄, 몽골을 포함한 중앙아시아의 조직과 이스라엘 및 인도의 회사들을 목표로 삼고 있습니다.

공격 표면을 줄이기 위해 CERT-UA 연구원들은 “mshta.exe”의 사용 및 Windows Script Host 및 Python 인터프리터 시작에 대한 사용자 계정의 제한 구성을 권장합니다.

UAC-0063 사이버 스파이 캠페인과 관련된 악성 활동 감지

우크라이나 및 그의 동맹국을 목표로 한 사이버 스파이 캠페인의 증가로 인해 사이버 방어자들은 러시아 백킹 침입을 적극적으로 저지하기 위한 관련 정보와 감지 컨텐츠의 소스가 필요합니다. 조직이 잠재적인 악성 활동을 적시에 식별할 수 있도록 SOC Prime은 CERT-UA 조사를 포함하는 적대자의 도구, 기술, 절차를 해결하는 Sigma 규칙 모음을 큐레이팅합니다. 모든 감지는 25개 이상의 SIEM, EDR, XDR 솔루션과 호환되며 MITRE ATT&CK 프레임워크 v12에 매핑되어 SOC 팀이 조사 및 위협 사냥 절차를 간소화하는 데 도움을 줍니다.

탐색하세요 탐지 탐색 버튼을 눌러 UAC-0063의 최신 캠페인을 적발하기 위한 Sigma 규칙 세트를 탐색하세요. 콘텐츠 검색을 단순화하기 위해 SOC Prime 플랫폼은 경고 및 그룹 식별자에 기반한 사용자 지정 태그 “CERT-UA#6549” 및 더 넓은 태그 “UAC-0063″으로 필터링을 지원합니다.

탐지 탐색

위협 조사를 간소화하기 위해, 사이버 수비대는 또한 Uncoder.IO를 사용하여 최신 UAC-0063 캠페인과 관련된 주요 침해 지표(IoCs)를 검색할 수 있습니다. 선택한 환경에서 즉시 실행할 수 있는 성능 최적화된 IoC 쿼리를 생성하려면 CERT-UA가 제공한 파일, 호스트, 네트워크 IoCs를 도구에 붙여 넣으세요 .

MITRE ATT&CK 컨텍스트

UAC-0063에 의한 악성 캠페인의 배경에 대한 컨텍스트에 깊이 들어가려면 위 모든 Sigma 규칙은 관련 전술 및 기술을 해결하는 ATT&CK v12와 함께 태그가 부여되어 있습니다: