UAC-0185 aka UNC4221 공격 탐지: 해커가 우크라이나 방위군 및 군수 산업 복합체를 노린다

러시아가 우크라이나에 대한 전면적인 침공을 개시한 이후, 방위 조직은 여러 해킹 그룹에 의해 다음과 같은 방식으로 집중 공격을 받고 있습니다: 피싱 공격 벡터. CERT-UA 연구원들은 UAC-0185(별칭: UNC4221)가 우크라이나 방위산업 부문 내 조직을 목표로 한 최신 공격에 대해 최근 조명을 드러냈습니다. 새로운 CERT-UA 경고 에는 이메일 스푸핑을 사용하여 발신자를 우크라이나 산업인 및 기업가 연합(UUIE)으로 가장한 사이버 공격이 포함됩니다.

CERT-UA#12414 경고에 포함된 UAC-0185 aka UNC4221 공격 탐지

2024년 12월 7일, CERT-UA는 새로운 보안을 발행했습니다 CERT-UA#12414 알림 우크라이나 방위 조직을 대상으로 하는 일련의 피싱 공격에 대해 사이버 방어자에게 알리고 발신자를 UUIE로 가장했습니다. 증가하는 볼륨과 복잡성으로 인해 진보적인 조직이 새롭게 떠오르는 사이버 공격을 견딜 수 있도록 돕기 위해 러시아의 우크라이나에 대한 전면전의 시작이래로, SOC Prime 플랫폼은 집단 사이버 방어를 위한 진보적인 보안 팀이 공격군보다 앞서가는 프로액티브한 사이버 보안 전략을 채택할 수 있게 돕습니다.

클릭하여 탐지 탐색 하여 최신 CERT-UA 알림에 포함된 UAC-0185 (별칭: UNC4221) 그룹의 사이버 공격을 사전에 저지하기 위한 SOC 콘텐츠 전용 컬렉션에 도달하십시오. 모든 탐지 알고리즘은 MITRE ATT&CK® 에 매핑되며, 심층 위협 조사를 보장하고 방어를 강화하기 위해 실행 가능한 CTI로 풍부하게 제공됩니다.

탐지 탐색

대안으로, 사이버 방어자는 “UAC-0185” 태그와 함께 위협 탐지 시장에서 해킹 그룹의 TTP를 다루는 탐지 룰을 검색할 수 있습니다.

조사를 진행하려면 보안 전문가가 해당 CERT-UA#12414 알림에 제공된 IOC를 활용하여 즉각적인 헌트를 시작할 수 있습니다. SOC Prime의 Uncoder AI 를 사용하여 몇 초 만에 맞춤형 IOC 기반 쿼리를 생성하고 선택한 SIEM 또는 EDR 환경에서 자동으로 작업하십시오.

UAC-0185 aka UNC4221 공격 분석

2024년 12월 4일, CERT-UA는 MIL.CERT-UA로부터 피싱 유인물을 이용하여 수신자가 이메일 내용을 열도록 유도하는 대량 이메일 배포에 관한 정보를 접수했습니다. 이러한 이메일들은 발신자를 UUIE로 사칭하고 우크라이나 방위산업 제품을 NATO 기술 표준으로 전환하는 것에 중점을 둔 해당 컨퍼런스 초대장으로 위장되었습니다. 이 악의적인 활동에 대한 연구는 UAC-0185, 일명 UNC4221가 해당 피싱 캠페인과 관련될 수 있음을 밝혀냈습니다.

CERT-UA#12414 경고에 포함된 공격을 뒷받침하는 해킹 집단은 적어도 2022년 이래로 사이버 위협 분야에서 활동해왔습니다. 적수들은 주로 Signal, Telegram, WhatsApp과 같은 인기 있는 메시지 애플리케이션 및 DELTA, TENETA, Kropyva 같은 군사 시스템을 통해 자격 증명 도난을 벌이고 있으며, 추가로 우크라이나 군산 복합체 및 방위군 관련 직원의 컴퓨터에 대한 비승인 원격 접근을 얻기 위한 제한된 사이버 공격을 수행하고 있습니다. UAC-0185는 일반적으로 MESHAGENT 및 UltraVNC와 같은 맞춤형 도구를 사용합니다.

이메일에는 피해자의 주의를 끌고 클릭하도록 유도하는 유인 하이퍼링크가 포함되어 있었습니다. 클릭하면 대상 컴퓨터에 바로 가기 파일이 다운로드되도록 트리거되었습니다. 이 LNK 파일을 열면 mshta.exe 유틸리티를 통해 HTA 파일의 다운로드 및 실행을 시작했습니다. HTA 파일에는 두 개의 PowerShell 명령을 실행하기 위한 JavaScript 코드가 포함되어 있었습니다. 하나의 명령은 UUIE의 편지처럼 보이는 문서를 다운로드하고 열었고, 다른 하나는 “Front.png”라는 이름의 파일을 다운로드했습니다. 후자는 세 개의 악성 파일을 포함하는 ZIP 아카이브였습니다. 아카이브를 추출하면서 “Main.bat”라고 불리는 파일 중 하나가 실행되었습니다.

BAT 파일은 다른 파일인 “Registry.hta”를 시작 디렉토리로 옮기고 실행한 후, 일부 다운로드된 파일을 삭제했습니다. 마지막으로 앞서 언급한 HTA 파일은 원격 제어 프로그램인 MESHAGENT로 식별된 실행 파일을 실행했습니다. 추가 분석을 통해 2023년 초로 거슬러 올라가는 사이버 공격과 연결된 추가 파일 및 적대자 인프라를 밝혀냈습니다.

MITRE ATT&CK 문맥

MITRE ATT&CK의 활용은 우크라이나 방위력 및 군을 겨냥한 최신 UAC-0185 악의적인 활동의 행동 패턴에 대한 광범위한 가시성을 제공합니다. 관련 ATT&CK 전술, 기술 및 하위 기술을 다루는 전용 시그마 규칙의 전체 목록은 아래 표를 참조하십시오.