UAC-0200 공격 탐지: 적대 세력이 Signal을 통해 유포된 DarkCrystal RAT를 활용하여 우크라이나 공공 부문을 겨냥한 타겟 피싱 공격을 시작하다

[post-views]
6월 06, 2024 · 3 분 읽기
UAC-0200 공격 탐지: 적대 세력이 Signal을 통해 유포된 DarkCrystal RAT를 활용하여 우크라이나 공공 부문을 겨냥한 타겟 피싱 공격을 시작하다

러시아-우크라이나 전쟁이 시작된 2022년 이후, 공격적인 작전이 상당히 증가하여 지정학적 긴장이 글로벌 기업에 미치는 심각한 영향을 강조했습니다. 다수의 해킹 그룹이 우크라이나를 실험장으로 사용하여 유럽과 미국의 정치적 영역으로 공격 표면을 확장하고 있습니다. CERT-UA는 최근 정부 기관, 군대 및 방위 기관을 대상으로 한 사이버 공격의 새로운 급증에 대해 보고하였으며, 이는 Signal 메신저를 통해 퍼지는 DarkCrystal RAT 악성코드를 사용합니다. 

UAC-0200 공격 분석 

2024년 6월 4일, CERT-UA는 새로운 CERT-UA#9918 사전 경고 를 발표했으며, Signal 메신저를 활용한 새로운 피싱 캠페인입니다. UAC-0200으로 추적된 해킹 집단은 우크라이나의 국가 기관, 공무원, 군 관계자, 방위 부문의 대표자들을 대상으로 악성 활동을 벌이며, 이들은 주로 Signal을 신뢰할 수 있는 통신 수단으로 사용합니다. 

특히 해커들은 Signal을 통해 DarkCrystal RAT가 포함된 악성 파일을 보낸 후 수신자의 연락처 목록이나 공유 그룹에 있는 사람으로 가장하여 피해자를 유인하려고 합니다. 이 전술은 메세지의 신뢰도를 높여 이러한 고도로 정교한 피싱 공격의 잠재적인 피해자에게 더 큰 위협을 가합니다.

공격자는 보통 암호, 메시지 및 악성 파일을 컴퓨터에서 열 필요가 있다는 메시지를 강조하며 아카이브 파일을 보냅니다. 위에서 언급된 아카이브는 보통 VBE 파일, BAT 파일, 그리고 EXE 파일을 포함한 RARSFX 아카이브인 실행 파일(확장자가 “.pif” 또는 “.exe”)을 포함하고 있습니다. 실행되면, 대상 컴퓨터는 DarkCrystal RAT 악성코드에 감염되어 시스템에 숨겨진 비인가 접근이 가능해집니다.

방어자들은 인기가 있는 메신저를 초기 공격 벡터로 악용하고 합법적인 계정을 침해하는 사이버 공격의 증가 추세를 지적합니다. 모든 경우에 피해자는 컴퓨터에서 파일을 열도록 유인되며, 이는 사용자가 침입의 위험을 피하기 위해 주의해야 할 특정 경고로 고려해야 합니다. 

CERT-UA#9918 경고에 포함된 UAC-0200 침입 탐지

신뢰받는 메시징 애플리케이션을 악용하여 악성코드를 퍼트리는 사이버 공격의 증가 패턴은 조직이 교활한 적대자의 의도에 취약할 수 있는 위험을 가중시킵니다. 최신 CERT-UA#9918 경고에 대응하여, 적들이 Signal을 악용하여 DarkCrystal RAT를 퍼트리는 UAC-0200 공격 방어를 위한 SOC Prime은 관련 탐지 알고리즘 세트를 즉시 준비했습니다.

클릭하세요 탐지 탐험 버튼을 눌러 이에 해당하는 CERT-UA#9918 경고에 포함된 UAC-0200 활동 탐지에 대한 Sigma 규칙 목록으로 이동하세요. 모든 탐지는 보안 팀이 콘텐츠 검색과 선택을 가속화할 수 있도록 CERT-UA 연구 식별자에 기반한 사용자 정의 태그로 필터링됩니다. 이 탐지 스택에서 제공하는 TTP 기반의 Sigma 규칙은 MITRE ATT&CK® 과 연결되어 있으며, 시장 주도적이고 클라우드 네이티브 SIEM, EDR, 및 데이터 레이크 솔루션과 호환되어 분산된 생태계에서 운영하는 조직의 탐지 엔지니어링 작업을 최적화합니다. 대안으로, 보안 팀은 “UAC-0200” 태그를 사용하여 적 내로서 탐지에 접근할 수도 있습니다.

탐지 탐험

파일, 호스트 또는 네트워크 기반 IOC를 간편하게 검색하려면 CERT-UA#9918 보고서에서 SOC Prime의 Uncoder AI 를 사용하는 것이 가능합니다. 이 솔루션은 자동으로 위협 인텔을 선택한 SIEM 또는 EDR 형식에 호환되는 성능 최적화된 IOC 쿼리로 변환할 수 있도록 합니다. 

Uncoder AI를 사용하여 CERT-UA#9918 경고에서 IOCs를 탐색하세요.

MITRE ATT&CK 문맥

MITRE ATT&CK을 활용하여 사이버 방어자는 UAC-0200과 연결된 최신 공격 작전 및 TTP의 문맥에 대한 상세한 통찰을 얻을 수 있습니다. 아래 표를 확인하여 해당 ATT&CK 전술, 기술 및 하위 기술에 적합한 특정 Sigma 규칙의 포괄적인 목록을 보세요.

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.
무료 가입하기 미팅 예약하기

관련 게시물

APT28(UAC-0001) 공격 탐지: 러시아 연계 그룹이 LLM 기반 LAMEHUG 악성코드로 보안 및 국방 부문 타깃
블로그, 최신 위협 — 4 분 읽기
APT28(UAC-0001) 공격 탐지: 러시아 연계 그룹이 LLM 기반 LAMEHUG 악성코드로 보안 및 국방 부문 타깃
Veronika Telychko
UAC-0001 (APT28) 공격 탐지: BEARDSHELL 및 COVENANT 악성코드를 이용한 러시아 정부 지원 그룹의 침해 활동
블로그, 최신 위협 — 5 분 읽기
UAC-0001 (APT28) 공격 탐지: BEARDSHELL 및 COVENANT 악성코드를 이용한 러시아 정부 지원 그룹의 침해 활동
Veronika Telychko
UAC-0226 공격 탐지: 우크라이나의 혁신 허브 및 정부 기관을 겨냥한 GIFTEDCROOK 스틸러 사이버 스파이 캠페인
블로그, 최신 위협 — 3 분 읽기
UAC-0226 공격 탐지: 우크라이나의 혁신 허브 및 정부 기관을 겨냥한 GIFTEDCROOK 스틸러 사이버 스파이 캠페인
Veronika Telychko