UAC-0149 공격 탐지: 해커들이 우크라이나 군대를 대상으로 한 공격을 시작했다고 CERT-UA 보고

러시아의 전면 침공 2주년 전 이틀 전에 CERT-UA 연구원들은 우크라이나 군대를 대상으로 한 지속적인 피싱 공격을 발견했다. UAC-0149 그룹과 관련된 적대 캠페인은 COOKBOX 악성코드를 사용하여 목표 시스템을 감염시켰다.UAC-0149 공격 분석: COOKBOX 악성코드 사용 

CERT-UA는 군부대 A0334의 정보 및 통신 시스템 사이버 보안 센터와 협력하여 관련된

CERT-UA#9204 경고 에 대한 우크라이나 군대에 대한 표적 공격을 공개했다. UAC-0149 그룹은 적어도 2023년 가을부터 이 악의적인 작업을 수행하고 있다. 2024년 2월 22일에 여러 군대 직원이 Signal 메신저를 통해 보고서 과제와 관련된 “1_ф_5.39-2024.xlsm”라는 제목의 유인 XLS 파일을 받았다. 합법적인 매크로 외에도 이 파일에는 PowerShell 명령을 실행하여 “mob2002.data” PowerShell 스크립트를 다운로드, 디코딩, 실행하기 위한 VBA 코드가 포함되어 있다.

GitHub에서 다운로드한 PowerShell 스크립트는 운영 체제(OS)에서 레지스트리 수정을 수행하며, 여기에는 기본 페이로드를 base64로 인코딩된 형식으로 기록하고, 디코더-런처를 base64로 인코딩된 형식으로 “HKEY_CURRENT_USERSOFTWAREMicrosoftXboxCache” 브랜치에 기록하며, 디코더를 실행하여 주요 페이로드의 실행을 촉진하려는 목적으로 “Run” 자동 시작 브랜치에 “xbox” 레지스트리 키를 생성하는 기능이 포함되어 있다. 디코딩 후에는 GZIP 압축 해제 및 악의적인 COOKBOX 프로그램을 실행하는 또 다른 PowerShell 스크립트가 포함되어 있다.

우크라이나와 그 동맹국을 주요 대상으로 하는 사이버 공격이 기하급수적으로 증가함에 따라, 선견지명이 있는 조직들은 능동적인 사이버 방어 전략과 혁신적 역량을 바탕으로 사이버 경계를 강화하려고 노력하고 있다.

COOKBOX 악성코드의 지속성은 OS 레지스트리의 “Run” 브랜치의 레지스트리 키를 통해 달성된다. 이 키는 COOKBOX 배포기를 포함하는 타사 PowerShell 스크립트에 의해 초기 감염 단계에서 생성된다. 일반적으로 코드는 문자 인코딩, 문자 대체(replace()), base64 인코딩, GZIP 압축과 같은 모호화(obfuscation)를 활용한다. UAC-0149 해커는 C2 인프라 관리를 위해 동적 DNS 서비스와 Cloudflare Workers를 적용한다.

수비수들은 적들이 인프라가 제대로 보호되지 않았을 때 COOKBOX 악성코드를 사용하여 목표 시스템을 감염시킨 경우를 관찰했다. cmd.exe, powershell.exe, mshta.exe, w(c)script.exe, hh.exe 및 기타 실행 유틸리티의 실행 시도를 차단하지 않은 장치가 주로 공격에 취약했다. 이 유틸리티가 Microsoft Office 프로그램(예: EXCEL.EXE) 중 하나에 의해 시작된 프로세스 내에서 실행될 경우, 공격 확률이 증가했다. 특히, 한 경우에는 제대로 설정된 EDR 보호 덕분에 적의 시도가 실패했으며, 이는 이러한 공격을 효과적으로 견디기 위해 최상의 사이버 보안 관행을 따르고 사이버 방어를 강화할 필요성을 강조한다.

를 활용하여 조직은 탐지 범위의 사각지대를 쉽게 식별하고, 자동화된 위협 사냥 능력으로부터 혜택을 얻으며, 조직 특유의 위협을 최소화하여 사이버 보안 태세를 강화할 수 있다. 

With the exponential rise in cyber attacks targeting Ukraine and its allies mainly in the public sector, forward-looking organizations are striving to elevate cyber vigilance backed by a proactive cyber defense strategy and innovation capabilities. Leveraging 를 활용하여 조직은 탐지 범위의 사각지대를 쉽게 식별하고, 자동화된 위협 사냥 능력으로부터 혜택을 얻으며, 조직 특유의 위협을 최소화하여 사이버 보안 태세를 강화할 수 있다. CERT-UA#9204 경고에 포함된 UAC-0149 공격 탐지

보안 전문가들은 2023년 상반기에 약 40개 러시아 지원 APT 그룹이 우크라이나를 공격했다고 추정하며, 침입은 수량과 정교함이 지속적으로 증가하고 있다. 이번에는 UAC-0149의 또 다른 악의적인 캠페인이 COOKBOX 악성코드를 의지하며 우크라이나 군대를 대상으로 삼았다. 

보안 전문가들이 UAC-0149 및 COOKBOX와 관련된 의심스러운 활동을 발견할 수 있도록 SOC Prime 플랫폼은 집단 사이버 방어를 위해 상세한 메타데이터와 함께 행동 기반 탐지 알고리즘 모음을 통합한다. 모든 규칙은

v14.1에 매핑되어 있으며, 28개의 SIEM, EDR, XDR 및 데이터 레이크 솔루션과 호환된다. 아래 v14.1에 매핑되어 있으며, 28개의 SIEM, EDR, XDR 및 데이터 레이크 솔루션과 호환된다. 아래 탐지 탐색 버튼을 눌러 주요 규칙 모음을 심층 분석할 수 있습니다.  또는 사이버 수비수가 그룹 식별자 및 CERT-UA 경고를 기반으로 “UAC-0149” 및 “CERT-UA#9204” 태그를 사용하여 관련 탐지를 검색할 수 있다.

버튼을 눌러 주요 규칙 모음을 심층 분석할 수 있습니다. 

보안 엔지니어는 또한 소스를 사용하여 IOC 패키징을 간소화할 수 있다

툴을 사용하십시오. 다음을 붙여 넣습니다 툴을 사용하십시오. 다음을 붙여 넣습니다 CERT-UA 제공 IOC 를 붙여 넣고, 성능 최적화된 쿼리로 자동 변환하여 매끄러운 위협 조사 가능성을 위해 선택한 환경에서 실행하십시오.  MITRE ATT&CK 문맥

보안 엔지니어는 또한 가장 최근의 CERT-UA 경고에 제공된 COOKBOX 악성코드를 사용하는 UAC-0149 공격의 세부 정보를 확인할 수 있습니다. 관련 Sigma 규칙과 연결된 적대자의 TTP를 총체적으로 분석하기 위해 아래 표를 탐색하십시오:

UAC-0149 적대적 활동과 관련된 IOC를 사냥하기 위해 Uncoder AI를 사용하십시오.