UAC-0114 그룹, Winter Vivern 공격 탐지: 해커가 우크라이나와 폴란드 정부 기관을 표적으로 피싱 캠페인 개시

글로벌 사이버 전쟁이 발발한 이후로 우크라이나와 그 동맹국들의 국가 기관들은 여러 해킹 집단에 의해 시작된 다양한 악성 캠페인의 표적이 되어 왔습니다. 위협 행위자들은 자주 피싱 공격 벡터를 활용하여 그들의 공격 캠페인을 수행하며, 예를 들어 2022년 12월의 사이버 공격에서 사용된 DolphinCape and FateGrab/StealDeal 와 같은 악성코드를 배포했습니다.

2023년 2월 1일, CERT-UA 사이버 보안 연구원들은 새로운 CERT-UA#5909 경고를 발행했으며이 경고에서 그들은 수비자들의 주의를 끌기 위해 바이러스 검사 유틸리티로 위장된 소프트웨어 다운로드를 유도하는 가짜 웹페이지에 대한 주의를 촉구했습니다. 해커들은 우크라이나 외무부의 공식 웹 사이트를 사칭하는 이 가짜 웹 페이지를 사용하여 감염된 시스템에 악성코드를 퍼뜨립니다. 이러한 공격의 뒤에는 러시아 관련 사이버 범죄자들이 포함될 수 있습니다. 

UAC-0114/겨울 비버른 활동: 국가 기관들을 목표로 하는 최신 캠페인 분석

악명 높은 러시아가 지원하는 Sandworm APT 그룹 (UAC-0082로도 알려짐)의 또 다른 악성 캠페인 직후, 우크라이나 국가 기관들은 폴란드 공화국의 정부 조직과 함께 다시 한번 피싱 공격의 대상이 되고 있습니다. 

최신 CERT-UA#5909 경고는 우크라이나와 폴란드 정부 조직을 대상으로 하는 진행 중인 악성 캠페인을 자세히 설명합니다. 이 사이버 공격에서 해커들은 우크라이나 국가 기관의 공식 웹 자원으로 위장한 가짜 웹 페이지를 이용하여 피해자에게 악성 소프트웨어 다운로드를 유도합니다. 

감염 체인은 가짜 바이러스 검사 소프트웨어로 유도하는 링크를 따라가며, 이는 악성 “Protector.bat” 파일을 다운로드하는 결과를 낳습니다. 이 후자는 일련의 파워셸 스크립트를 실행하며, 그 중 하나는 특정 확장자를 가진 파일(.edb, .ems, .eme, .emz, .key 등)을 검색하기 위해 데스크톱 카탈로그를 순환하는 알고리즘을 적용합니다. 후속 스크립트는 화면 캡처와 HTTP를 통한 데이터 유출도 수행할 수 있습니다. 공격자들은 또한 예약된 작업을 사용하는 일련의 악성코드 지속성 기법을 활용하여 공격 탐지에 도전을 제기합니다.

CERT Polska 및 CSIRT MON과의 협력 덕분에, 사이버 방어자들은 우크라이나 외무부, 우크라이나 보안 서비스 (SBU), 폴란드 경찰 등 우크라이나와 폴란드 정부 기관의 공식 웹 페이지를 사칭하는 유사한 피싱 웹 자원을 밝혀냈습니다. 특히, 2022년 6월에는 유사한 피싱 웹 페이지가 우크라이나 국방부의 메일 서비스 UI를 사칭하는 경우도 있었습니다.

이 악성 활동은 UAC-0114로 추적되며, 겨울 비버른 해킹 집단에게 귀속됩니다. 이 피싱 캠페인에서 활용된 상대 TTP는 파워셸 스크립트 사용 및 악성코드 스캔과 관련된 이메일 제목 유인 등 매우 일반적입니다. 또한, 위에서 언급된 해킹 그룹에 러시아어 사용자가 포함될 가능성이 높습니다. 이는 사용하는 악성코드, APERETIF 소프트웨어가 러시아 관련 반대 세력 행동 패턴에 전형적인 코드 라인을 포함하고 있기 때문입니다.

CERT-UA#5909 경고에 포괄된 UAC-0114의 악성 활동 감지

SOC Prime은 우크라이나와 그 동맹국들이 러시아 관련 악성 활동에 대해 능동적으로 방어할 수 있도록 최전선에서 지원합니다. SOC Prime의 Detection as Code 플랫폼은 최근 피싱 캠페인과 관련된 악성코드를 적시에 식별할 수 있도록 팀에 도움을 주기 위해 UAC-0114 그룹의 피싱 캠페인에 관련된 Sigma 규칙 일련을 구성합니다. 모든 탐지는 MITRE ATT&CK® 프레임워크 v12 와 호환되며, 업계 선도적인 SIEM, EDR, XDR 기술과도 호환됩니다. 

탐지를 열람하려면 탐지 탐색 버튼을 클릭하세요. 이는 우크라이나와 폴란드를 대상으로 한 피싱 공격의 이면에 있는 UAC-0114 그룹의 TTPs를 탐지할 Sigma 규칙의 포괄적인 목록에 접근할 수 있도록 합니다. 탐색을 용이하게 하기 위해, 모든 탐지 알고리즘은 CERT-UA 경고와 그룹 식별자를 기준으로 한 “CERT-UA#5909” 및 “UAC-0114”와 같은 맞춤형 태그로 필터링됩니다. 또한, 보안 엔지니어는 ATT&CK 및 CTI 참조, 완화 조치 및 운영 메타데이터를 포함한 관련 사이버 위협 맥락으로 심층적으로 탐구할 수 있어 위협 연구를 용이하게 합니다.

탐지 탐색

IOC 기반 위협 헌팅을 최대한 활용하고 즉석 수동 작업에서 초 단축을 위해, 보안 엔지니어들은 Uncoder CTI를 통해 UAC-0114 위협 행위자에 의한 현재 진행 중인 공격과 관련된 IOC 쿼리를 즉시 생성할 수 있습니다. CERT-UA#5909 경고는적절한 파일, 호스트, 네트워크 IOCs를 붙여넣고, 즉석에서 사용자 정의 IOC 쿼리를 작성하면, 선택한 SIEM 또는 XDR 환경에서 관련 위협을 검색할 준비가 완료됩니다. 

MITRE ATT&CK 컨텍스트

UAC-0114로도 알려진 겨울 비버른 그룹의 최신 피싱 캠페인 이면의 심도 있는 컨텍스트를 위해, 모든 전용 Sigma 규칙은 관련 전술 및 기법을 다루는 ATT&CK에 매핑되어 있습니다.