UAC-0180, GLUEEGG, DROPCLUE 및 ATERA를 사용하여 우크라이나의 방위 산업체를 표적으로 삼다

Accenture 연구에 따르면 2022년 러시아-우크라이나 전쟁이 시작된 이후 약 97%의 조직이 사이버 위협의 증가를 경험했으며, 지정학적 긴장이 세계 비즈니스에 미치는 중대한 영향을 강조하고 있습니다. 국가 지원 해킹 그룹은 우크라이나를 테스트 장소로 사용하면서 유럽과 북미 지역을 겨냥한 공격 전략을 확장하고 있습니다. 예를 들어, 2023년 10월 러시아 APT28 (UAC-0001) 는 프랑스의 공공 및 민간 부문을 모두 겨냥하여 2022-2023년 우크라이나에서 관찰된 동일한 취약점과 전술을 악용했습니다. 따라서, 글로벌 사이버 보안 커뮤니티가 우크라이나의 조직들에 대한 공격을 조사하여 전 세계적으로 적용되고 있는 최신의 악성 도구를 앞서 나가는 것이 중요합니다.

UAC-0180 공격 설명: GLUEEGG, DROPCLUE 및 ATERA를 활용한 우크라이나 방위 계약자 공격

2024년 7월 17일, CERT-UA는 경고를 발령했습니다. UAC-0180 그룹의 악의적 활동이 증가하고 있다는 것입니다. 이 해킹 집단은 광범위한 악성 소프트웨어를 이용하여 우크라이나 방위 회사를 지속적으로 공격하고 있습니다.

CERT-UA에 따르면, 위협 행위자들은 자주 피싱 벡터에 의존하여 침입을 진행합니다. 구체적으로, 해커들은 UAV 조달 관련 주제로 위장된 사기 이메일을 발송하여 피해자들이 첨부된 ZIP 파일 안의 PDF 문서를 열도록 유도합니다. 만약 예상치 못한 사용자가 PDF 내의 악성 URL 중 하나를 따르게 되면, “adobe_acrobat_fonts_pack.exe”가 GLUEEGG 악성 코드로 작동됩니다. GLUEEGG의 주 기능은 DROPCLUE 로더를 해독하고 실행하여 “UA-2024-07-04-010019-a-open.pdf” 및 “font-pack-pdf-windows-64-bit” EXE 파일을 목표 장치에 드롭합니다. 이는 또한 표준 “curl.exe” 유틸리티를 사용하여 합법적인 원격 관리 소프트웨어 ATERA의 MSI 파일을 설치하는 BAT 파일의 실행을 시작합니다.

UAC-0180의 공격이 넓은 지리적 범위에도 불구하고, 이 위협 행위자들은 우크라이나 방위 계약자 및 우크라이나 방위군의 네트워크에 무단 접근을 시도하고 있습니다. 적대 세력은 C (ACROBAIT), Rust (ROSEBLOOM, ROSETHORN), Go (GLUEEGG), Lua (DROPCLUE) 등 여러 프로그래밍 언어로 개발된 진화하는 악성 소프트웨어의 무기를 사용합니다. 또한, PDF 문서에 악성 링크를 첨부하여 초기 감염 단계에서 자주 사용됩니다.

CERT-UA#10375 경고에 포함된 UAC-0180 악성 활동 탐지

우크라이나 공공 및 민간 부문에 대한 사이버 공격의 수가 점점 증가함에 따라 사이버 방어자들이 즉각적으로 잠재적인 위협을 인식하고 완화할 수 있도록 초응답성이 요구됩니다. SOC Prime 플랫폼 은 보안팀에게 고급 및 비용 효율적인 위협 탐지 도구를 제공하여 사이버 방어 능력을 향상시키고 SOC 투자 가치를 극대화합니다.

SOC Prime 플랫폼은 UAC-0180 공격을 초기에 탐지하기 위해 상세한 사이버 위협 인텔리전스 와 매핑된 커리어 탐지를 포함한 포괄적인 컬렉션을 제공합니다. MITRE ATT&CK® 프레임워크로 매핑됩니다. 이러한 탐지 알고리즘은 다양한 SIEM, EDR, 데이터 레이크 형식으로 쉽게 변환할 수 있으며, 자동 변환 지원이 제공됩니다.

각 탐지 규칙은 “CERT-UA#10375” 및 “UAC-0180”와 같은 그룹 및 경고에 연결된 관련 식별자로 태그 지정되어 사용자가 자신의 필요에 따라 콘텐츠를 효과적으로 필터링하고 검색할 수 있습니다. 우크라이나 방위 계약자에 대한 UAC-0180 캠페인과 관련된 모든 탐지 규칙을 탐색하려면 아래의 “탐지 탐색” 버튼을 클릭하세요.

탐지 탐색

보안 전문가들은 또한 Uncoder AI, SOC Prime의 IDE를 이용한 탐지 엔지니어링, 최신 CERT-UA 경고에 제안된 IOC 기반의 즉각적인 쿼리 생성을 통해 위협 연구를 가속화할 수 있습니다.

MITRE ATT&CK 컨텍스트

MITRE ATT&CK을 활용하면 CERT-UA 연구에 의해 다뤄지고 있는 UAC-0180에 귀속된 최신 공격 작업의 컨텍스트에 대한 세부적인 가시성을 제공합니다. 아래 표에서 해당 ATT&CK 전술, 기술 및 하위 기술을 다루는 전용 Sigma 규칙의 전체 목록을 탐색하세요.