UAC-0099 활동 감지: 해커들이 우크라이나 정부 기관 및 미디어 조직을 대상으로 사이버 첩보 작전을 수행

[post-views]
6월 06, 2023 · 3 분 읽기
UAC-0099 활동 감지: 해커들이 우크라이나 정부 기관 및 미디어 조직을 대상으로 사이버 첩보 작전을 수행

불과 몇 주 전, CERT-UA는 글로벌 사이버 방어 커뮤니티에게 진행 중인 사이버 스파이 캠페인 에 대해 주의를 환기시키며, 우크라이나와 UAC-0063 그룹과 연계된 중앙 아시아의 조직을 대상으로 하고 있습니다.

6월 초, CERT-UA 연구원들은 또 다른 경고를 발령했습니다. 이 경고는 전자 메일 공격 벡터를 주로 이용하고 우크라이나 정부 기관과 정보를 수집하려는 편집 기관을 대상으로 하는 장기 사이버 스파이 활동을 다루고 있습니다. 이러한 사이버 공격을 수행하는 해킹 집단은 UAC-0099로 식별되었으며, 2022년 하반기부터 우크라이나를 대상으로 한 표적 사이버 스파이 작전을 수행해 왔습니다.

UAC-0099 사이버 스파이 활동 분석

최신 CERT-UA#6710 경고 는 UAC-0099 해킹 그룹에 의해 우크라이나 정부와 미디어 기관을 대상으로 한 지속적인 악성 활동을 다룹니다. 2022년2023년 동안 위협 행위자들은 우크라이나 조직과 관련된 수십 대의 컴퓨터에 대한 무단 원격 접근을 얻고 손상된 시스템에서 정보를 수집하려 시도했습니다.

연구원에 따르면, 위협 행위자들은 이메일과 메신저를 통해 악성 링크, 실행 파일, 아카이브, HTML 문서 파일을 대량으로 배포하며, 이는 실행 시 LONEPAGE 멀웨어로 시스템을 감염시킬 수 있습니다. LONEPAGE 멀웨어는 주로 자바스크립트 또는 VBScript 코드를 적용하여 원격 서버에서 ‘upgrade.txt’ 파일을 다운로드하고 이후 악성 PowerShell 명령을 실행하여 시스템을 손상시키고 HTTP POST 요청을 통해 서버에 도난된 데이터를 전송합니다.

또한, 적들은 Chrome과 Opera 브라우저용 THUMBCHOP 정보 도용 프로그램, CLOGFLAG 키로거, TOR 및 SSH 소프트웨어 등 다른 악성 요소를 다운로드하여 손상된 컴퓨터에 대한 비밀 서비스를 생성할 수 있습니다. 또, CERT-UA 연구원들은 발생 대응 단계에서 SEAGLOW 및 OVERJAM 등의 기타 GO 기반 멀웨어 샘플을 발견했습니다.

조사에 따르면, UAC-0099 해커들은 손상된 환경에서 수평 이동을 수행하고, 로컬 네트워크를 스캔하며, 권한 있는 계정을 손상시켜 기업 정보 시스템에 접근하고 있음을 확인했습니다.

조직이 위협을 완화할 수 있도록 사이버 방어자들은 wscript.exe, cscript.exe, powershell.exe, mshta.exe 등 특정 합법적 요소의 사용자 워크스테이션 실행 능력을 제한할 것을 권장합니다. 이는 적들이 악용할 수 있습니다.

CERT-UA#6710 경고로 다룬 UAC-0099 사이버 스파이 캠페인 탐지

UAC-0099 사이버 스파이 활동과 관련된 잠재적 악성 활동을 감지하기 위해, 집합적 사이버 방어를 위한 SOC 프라임 플랫폼은 관련 시그마 규칙을 폭넓게 제공합니다. 콘텐츠 검색을 간소화하기 위해, 보안 전문가들은 CERT-UA 경고 및 그룹 식별자를 기반으로 ‘CERT-UA#6710’ 및 ‘UAC-0099’라는 커스텀 태그를 사용해 탐지를 필터링할 수 있습니다.

아래의 탐지 탐색 버튼을 눌러 최신 UAC-0099 캠페인을 탐지하는 전용 시그마 규칙의 전체 목록에 접근하세요. 모든 규칙은 MITRE ATT&CK® 프레임워크 v12와 일치하며, 심층적인 사이버 위협 맥락으로 풍부하게 하며, 28개 이상의 SIEM, EDR, XDR 솔루션과 호환하여 특정 보안 요구에 맞습니다.

탐지 탐색

SOC 팀은 UAC-0099 사이버 스파이 활동과 관련된 침해 지표를 검색하여 위협 사냥 속도를 높일 수 있습니다. Uncoder AI로 도움을 받을 수 있습니다. CERT-UA에서 제공한 IOC를 도구에 붙여넣고 대상 쿼리의 콘텐츠 유형을 선택하여 성능 최적화된 IOC 쿼리를 즉시 생성할 수 있습니다. into the tool and select the content type of your target query to instantly create performance-optimized IOC queries ready to run in the chosen environment. 

MITRE ATT&CK 컨텍스트

CERT-UA#6710 경고로 다룬 최신 UAC-0099 사이버 스파이 공격의 보다 폭넓은 컨텍스트를 검토하려면, 관련된 모든 시그마 규칙이 ATT&CK v12로 태그되어 관련 전략과 기술을 다루고 있습니다:

Tactics 

Techniques

Sigma Rule

Initial Access

Phishing (T1566)

Defense Evasion

System Script Proxy Execution (T1216)

Hide Artifacts (T1564)

Masquerading (T1036)

System Binary Proxy Execution (T1218)

Execution

Command and Scripting Interpreter (T1059)

Scheduled Task/Job (T1053)

Discovery

System Information Discovery (T1082)

System Network Configuration Discovery (T1016)

Persistence

Boot or Logon Autostart Execution (T1547)

Command and Control

Ingress Tool Transfer  (T1105)

 

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.
무료 가입하기 미팅 예약하기

관련 게시물

UAC-0099 공격 탐지: 해커들이 MATCHBOIL, MATCHWOK, DRAGSTARE 악성코드를 사용해 우크라이나 정부 및 방위 기관을 표적
블로그, 최신 위협 — 5 분 읽기
UAC-0099 공격 탐지: 해커들이 MATCHBOIL, MATCHWOK, DRAGSTARE 악성코드를 사용해 우크라이나 정부 및 방위 기관을 표적
Veronika Telychko
APT28(UAC-0001) 공격 탐지: 러시아 연계 그룹이 LLM 기반 LAMEHUG 악성코드로 보안 및 국방 부문 타깃
블로그, 최신 위협 — 4 분 읽기
APT28(UAC-0001) 공격 탐지: 러시아 연계 그룹이 LLM 기반 LAMEHUG 악성코드로 보안 및 국방 부문 타깃
Veronika Telychko
UAC-0001 (APT28) 공격 탐지: BEARDSHELL 및 COVENANT 악성코드를 이용한 러시아 정부 지원 그룹의 침해 활동
블로그, 최신 위협 — 5 분 읽기
UAC-0001 (APT28) 공격 탐지: BEARDSHELL 및 COVENANT 악성코드를 이용한 러시아 정부 지원 그룹의 침해 활동
Veronika Telychko