UAC-0184 공격 탐지: Remcos RAT와 Reverse SSH를 사용하여 우크라이나 군을 대상으로 한 표적 피싱 공격

[post-views]
1월 08, 2024 · 3 분 읽기
UAC-0184 공격 탐지: Remcos RAT와 Reverse SSH를 사용하여 우크라이나 군을 대상으로 한 표적 피싱 공격

우크라이나에 대한 피싱 캠페인이 Remcos RAT을 퍼뜨린 직후에, 유사한 적대적 툴킷에 의존한 또 다른 공격 작전이 등장했습니다. 2023년 12월 말, Trendmicro 연구원들은 CERT-UA에게 우크라이나에 대한 일련의 새로운 피싱 공격을 통해 전송된 의심스러운 군사 관련 파일들에 대해 보고했습니다. 발견된 악성 활동은 우크라이나 무장 세력을 대상으로 한 모집 절차로 위장한 것으로, 제3 독립 돌격 여단과 이스라엘 국방군의 모집 절차를 가장하고 있습니다. UAC-0184 그룹에 속한다고 여겨지는 이 공격은 Reverse SSH 터널링을 활용하여 목표 인프라에 Remcos RAT을 감염시키고자 합니다. Remcos RAT.

UAC-0184 공격 분석

2023년 12월 22일, Trendmicro는 CERT-UA에게 군사 관련 피싱 미끼를 포함하는 우크라이나에 대한 새로 발견된 적대적 활동에 대해 알렸습니다. 제공된 세부 정보를 바탕으로 2024년 1월 6일, CERT-UA는 새로운 CERT-UA#8386 경보 를 발표하며, 제3 독립 돌격 여단과 이스라엘 국방군 관련 모집 절차를 가장하는 피싱 작전을 다루었습니다. 

2023년 11월경, 적들은 LNK 파일을 포함한 악성 아카이브를 배포하기 위해 Signal을 활용했습니다. 이를 실행하면 LNK 파일이 감염 사슬을 시작하여 Remcos RAT을 배포하게 됩니다. Reverse SSH 터널링을 활용한 공격 결과, 적대 세력은 공격받은 인스턴스에 무단 원격 접근을 얻을 수 있습니다.

상기 참조된 바로 가기 파일들은 mshta.exe를 통해 HTA 파일을 로딩하고 실행하는 난독화된 명령을 포함하고 있으며, 이 파일에는 난독화된 코드가 포함되어 있습니다. 이어서, VBScript 코드가 암호 해독, 압축 해제, 그리고 악의적 PowerShell 스크립트를 실행하도록 설계된 PowerShell 명령을 실행합니다. 이는 악성 샘플을 로딩 및 실행하고, PDF 또는 DOCX 형식의 유인 파일도 보장합니다. 특히, 이러한 피싱 미끼의 이름과 내용은 군사와 관련이 있습니다.

공개적으로 이용 가능한 도구를 사용하는 공격자에 의해 이루어졌지만, 발견된 공격 활동은 별도의 사이버 위협 클러스터로 간주될 수 있으며 UAC-0184 해킹 그룹과 연관되어 있습니다.

CERT-UA#8386 경보에 다룬 UAC-0184 공격 감지

우크라이나를 표적으로 하는 악성 캠페인의 증가하는 양은 공개적으로 이용 가능한 해킹 도구를 자주 활용하며, 이는 여러 집단이 우크라이나 사이버 위협 환경을 더욱 정교한 공격의 전장으로 활용할 수 있도록 허용합니다. UAC-0184 그룹과 관련한 공격을 효과적으로 탐지하기 위해, 그리고 CERT-UA#8386 경보에 다뤄진 내용을 탐지하기 위해, SOC Prime Platform은 관련 행동 기반 Sigma 규칙을 모아 제공합니다.

탐지 탐색 전체 UAC-0184 공격 탐지 알고리즘 컬렉션을 탐색하려면 클릭하세요. MITRE ATT&CK® 및   및 CTI 참조를 살펴보고, 보다 실행 가능한 메타데이터를 바로 손에 넣어보세요.

전체 UAC-0184 공격 탐지 알고리즘 컬렉션을 탐색하려면

CERT-UA#8386 경보에 나열된 UAC-0184 공격과 관련된 IOC를 오픈 소스 Uncoder IO를 통해 즉시 실행할 수 있는 위협 정보를 맞춤형 IOC 쿼리로 생성하여 SIEM 또는 EDR 환경에서 실행할 수 있게 해주는 도구입니다.  tool that enables instantly generating threat intel into custom IOC queries ready to run in your SIEM or EDR environment. 

Uncoder IO IoC를 사냥 쿼리로 변환

MITRE ATT&CK 배경

MITRE ATT&CK을 사용하면 UAC-0184와 관련된 최신 공격 캠페인의 맥락에 대한 자세한 통찰을 제공합니다. 아래 표를 참조하여 해당 ATT&CK 전술, 기술 및 하위 기술을 다루는 전용 Sigma 규칙의 포괄적인 세트를 확인하세요.

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.
무료 가입하기 미팅 예약하기

관련 게시물

UAC-0226 공격 탐지: 우크라이나의 혁신 허브 및 정부 기관을 겨냥한 GIFTEDCROOK 스틸러 사이버 스파이 캠페인
블로그, 최신 위협 — 3 분 읽기
UAC-0226 공격 탐지: 우크라이나의 혁신 허브 및 정부 기관을 겨냥한 GIFTEDCROOK 스틸러 사이버 스파이 캠페인
Veronika Telychko
UAC-0219 공격 탐지: 새로운 사이버 스파이전 캠페인 – PowerShell Stealer WRECKSTEEL 사용
블로그, 최신 위협 — 3 분 읽기
UAC-0219 공격 탐지: 새로운 사이버 스파이전 캠페인 – PowerShell Stealer WRECKSTEEL 사용
Veronika Telychko
UAC-0200 공격 탐지: 다크크리스탈 RAT을 사용한 우크라이나군 및 방위 산업 분야를 노리는 사이버 스파이 활동
블로그, 최신 위협 — 3 분 읽기
UAC-0200 공격 탐지: 다크크리스탈 RAT을 사용한 우크라이나군 및 방위 산업 분야를 노리는 사이버 스파이 활동
Veronika Telychko