UAC-0099 공격 탐지: WinRAR 취약점과 LONEPAGE 악성코드를 이용한 우크라이나 정부 기관 대상 사이버 스파이 활동

The UAC-0099 2022년 하반기부터 우크라이나를 대상으로 한 타겟 사이버 첩보 공격을 실행 중인 해킹 집단이 사이버 위협 무대에 다시 등장했습니다. CERT-UA 팀은 2024년 11월에서 12월 사이에 이 그룹의 악성 활동이 증가했음을 관찰했으며, 피싱 공격 벡터를 사용하여 우크라이나 정부 기관을 대상으로 LONEPAGE 악성코드를 유포하고 있습니다.

CERT-UA#12463 경보에 포함된 UAC-0099 공격 탐지

증가하고 있는 사이버 첩보 캠페인은 우크라이나 및 그 동맹국의 정부 기관을 대상으로 한 공격으로 현재의 사이버 위협 환경에서 중요한 측면으로 두드러집니다. 최신 CERT-UA#12463 경보는 우크라이나 공공 부문 조직을 대상으로 한 새로운 정보 수집 작전을 관찰하고, CVE-2023-38831 악용과 LONEPAGE 악성코드 유포를 통한 감염 위험을 최소화하기 위한 방어 강화의 필요성을 강조합니다.

클릭 탐지 항목 보기 CERT-UA 경보에 포함된 UAC-0099 공격 탐지 SOC 콘텐츠의 큐레이팅된 목록에 도달하며, 이는 2024년 11월과 12월에 이르는 그룹의 적대적 작전에 중점을 둡니다. 모든 탐지는 MITRE ATT&CK® 프레임워크에 매핑되어 있으며, 위협 연구 강화를 위한 관련 사이버 위협 맥락을 제공합니다. CTI 및 기타 주요 메타데이터. 보안 팀은 또한 자동 번역 기능을 활용하여 SIEM, EDR, 데이터 레이크 형식으로 탐지 코드를 변환하여 보안 요구 사항을 충족할 수 있습니다.

탐지 항목 보기

보안 엔지니어는 또한 “UAC-0099” 태그를 통해 그룹 식별자에 기반을 둔 탐지 스택에 접근하여 사이버 첩보 공격과 연결된 TTP를 탐색할 수 있습니다.

또한, 팀은 그룹의 TTP에 대한 IOC 패키징과 회고적 사냥을 가속화할 수 있습니다. 활용하세요 Uncoder AI 최신 CERT-UA 연구로부터 IOCs를 즉시 변환하여 여러 언어 형식과 호환되는 큐레이팅된 사냥 쿼리로 만듭니다.

UAC-0099 공격 분석

2024년 12월 14일, CERT-UA는 ” CERT-UA#12463 “로 추적되는 새로운 주의를 발행하여 UAC-0099 행위자에 의한 사이버 첩보 활동 급증을 보안 팀에게 알렸습니다. 2024년 11월과 12월 사이에, 적대자들은 우크라이나의 임업 부서, 법의학 기관, 공장, 기타 공공 부문 기관을 포함한 국가 기관을 대상으로 일련의 사이버 공격을 시작했습니다.

공격자들은 LNK 또는 HTA 파일 형식의 이중 아카이브가 포함된 피싱 이메일을 통해 일반적인 행동 패턴을 적용했습니다. 이러한 아카이브 중 일부에는 알려진 WinRAR 취약점 CVE-2023-38831에 대한 악용도 포함되었습니다. 성공적인 손상 후, LONEPAGE 악성코드가 영향을 받은 기기에서 실행되어 명령 실행을 가능하게 합니다. 이 악성코드는 시스템을 감염시키고 HTTP POST 요청을 통해 서버로 도난 데이터를 전송하는 악성 PowerShell 명령을 실행합니다.

2023년 6월, UAC-0099 그룹은 우크라이나 언론 및 정부 기관에 대한 장기 캠페인 을 수행한 것으로도 관찰되었으며, 정보 수집을 목표로 하였습니다. 이 사이버 첩보 작전에서는 공격자들이 유사하게 악성 첨부 파일이 있는 피싱 이메일을 활용하며, 일부 경우에는 동일한 WinRAR 소프트웨어의 중요한 취약점을 악용하여 LONEPAGE 악성코드를 전달하였습니다.

적대자들이 활용한 공격 도구에는 유사한 점이 있지만, 연구자들은 최신 캠페인에서 그룹의 TTP가 변화를 보임을 관찰했습니다. 특히, LONEPAGE는 이전에 시스템 디렉토리 중 하나에 저장된 VBS 파일로 구현되었습니다. 2024년 12월에는 3DES로 암호화된 파일과 이 파일을 복호화하고 결과 PowerShell 코드를 메모리에서 실행하는 .NET 애플리케이션을 사용하여 설명된 기능이 실행되었습니다.

적대자들은 Cloudflare 서비스를 악용하여 인프라의 복원력을 유지하고 탐지를 피하기 위해 숨곤합니다. UAC-0099의 사이버 첩보 캠페인이 확장됨에 따라 변화하는 방법, 도구 및 목표와 결합되어 이 그룹의 적응력을 효과적으로 대응하기 위한 사이버 경계 강화의 필요성을 굳게 강조합니다. 활용하여 공동 사이버 방어를 위한 SOC Prime 플랫폼을 통해 조직은 데이터를 포기하지 않고도 보안 태세를 강화하여 모든 규모의 공격을 사전에 방어할 수 있습니다.

MITRE ATT&CK 맥락

MITRE ATT&CK을 활용하면 보안 팀이 우크라이나에 대한 사이버 첩보 캠페인에서 활용된 UAC-0099의 TTP에 대한 상세한 통찰력을 얻을 수 있으며, 가장 최근의 CERT-UA 보고서에 포함되어 있습니다. 아래 표를 참조하여 관련 ATT&CK 전술, 기술 및 하위 기술을 다루는 포괄적인 Sigma 규칙 세트를 확인하십시오.