UAC-0218 공격 탐지: 적들이 HOMESTEEL 악성코드를 사용하여 파일을 훔치다

[post-views]
10월 25, 2024 · 3 분 읽기
UAC-0218 공격 탐지: 적들이 HOMESTEEL 악성코드를 사용하여 파일을 훔치다

“Rogue RDP” 공격에 이어 우크라이나 국가기관 및 군부대를 대상으로 피싱 공격 벡터를 활용하는 CERT-UA 연구원들은 피싱 공격의 또 다른 물결을 발견했습니다. 이는 청구서 관련 주제의 유인 이메일을 활용하고 HOMESTEEL 악성코드를 무기로 사용하여 파일을 탈취하고 있습니다. UAC-0218 그룹이 계속되는 적대자 작전의 배후로 추정됩니다. HOMESTEEL 악성코드를 사용하여 UAC-0218 공격을 감지하기

우크라이나 조직을 대상으로 한 적대자 캠페인이 증가하고 여러 해킹 그룹의 공격 도구 실험과 함께 증가함에 따라 방어자들은 조직이 사전에 대처할 수 있도록 사이버 보안 인식을 강화하고 있습니다. 집단 사이버 방어를 위한 SOC 프라임 플랫폼은 관련 CERT-UA#11717 경고를 통해 UAC-0218 활동 감지를 위한 시그마 규칙 모음을 최근 발표했습니다.

누르기

탐색 감지 을 통해 MITRE ATT&CK® 와 일치하는 전용 시그마 규칙 스택에 접속하고 CERT-UA 연구 식별자를 기반으로 하는 사용자 지정 태그로 필터링하여 콘텐츠 검색 편의를 제공합니다.  실행 가능한 위협 인텔로 탐구하고 관련 메타데이터를 탐색하거나, 30개 이상의 플랫폼 옵션 중에서 선택된 SIEM, EDR 또는 데이터 레이크 형식으로 탐지 코드를 변환합니다. 또는 CERT-UA 연구에서 언급된 그룹 ID 및 악성코드를 기준으로 “UAC-0218” 및 “HOMESTEE” 태그를 적용하여 위협 탐지 마켓플레이스 라이브러리에서 직접 관련 콘텐츠를 검색할 수 있습니다.

을 통해

사이버 보안 전문가들은 또한 CERT-UA#11717 경고와 관련된 UAC-0218 활동에 대한 위협 인텔을 기반으로 파일, 호스트, 또는 네트워크 IOC를 포함하는 IOC 기반 사냥을 가속화할 수 있으며, 이러한 IOC는 단 몇 번의 클릭만으로 환경 형식에 맞는 사용자 정의 쿼리로 원활하게 구문 분석 및 변환이 가능합니다.

로. 로. 

Use Uncoder AI to streamline the search for IOCs related to the UAC-0218 activity from the CERT-UA#11717 alert

CERT-UA#11717 연구에 포함된 UAC-0218 활동 분석

10월 24일, CERT-UA 팀은 ‘청구서’ 및 ‘세부 정보’와 같은 청구서와 관련된 유인 주제를 포함한 피싱 이메일 배포에 대한 정보를 받았습니다. 이는 유사한 이름의 RAR 아카이브를 다운로드하도록 유도하는 eDisk 링크를 포함했습니다. 연구에 따르면, UAC-0218 해킹 그룹에 기인하는 현재 악의적인 캠페인은 2024년 8월부터 최소한 활동을 계속하고 있습니다.

해당 CERT-UA#11717 경고 에서는 위의 언급된 아카이브가 두 개의 비밀번호로 보호된 미끼 문서와 VBS 스크립트 “Password.vbe”을 포함하고 있었다고 명시하고 있습니다.

언급된 아카이브에는 두 개의 비밀번호로 보호된 미끼 문서와 VBS 스크립트 “Password.vbe”가 포함되어 있었습니다.

해당 스크립트에는 %USERPROFILE% 폴더에서 최대 다섯 개의 디렉토리 깊이까지 특정 확장자를 가진 파일을 재귀적으로 검색하는 코드를 구현했습니다. 이 코드는 찾아진 파일이 10MB를 초과하지 않는 경우 이를 HTTP PUT 요청을 통해 적의 서버로 유출하도록 설계되었습니다. 또한 컴퓨터에 구성된 경우 프록시 서버 사용을 지원하며, 각 HTTP 요청의 URI 값에는 도난당한 파일의 전체 경로가 포함되어 있습니다.

조사 결과, 특정 확장자를 가진 파일을 재귀적으로 검색하고 이를 HTTP POST를 사용하여 C2 서버로 전송하는 기능을 구현한 한 줄의 PowerShell 명령을 포함한 실행 파일(자체 추출된 압축 아카이브)을 발견했습니다. 전체 파일 경로도 URI의 일부로 전송되었습니다.

주요 제어 인프라의 눈에 띄는 특징은 HostZealot로 추적되는 도메인 이름 등록자 사용과 Python을 통한 웹 서버 구현입니다.

우크라이나 및 그 동맹국에 대한 피싱 공격의 증가로 인해, 글로벌 사이버 방어 커뮤니티는 공격 세력에 대한 전략적 우위를 확보할 수 있는 회복력 있는 역량을 찾고 있습니다. SOC Prime은 AI 기반 탐지 엔지니어링, 자동화된 위협 사냥, 고급 위협 탐지를 위한 완전한 제품 제품군 으로 보안 팀을 지원하여 피싱 공격을 사전에 차단하고, 악의적인 침입을 시기 적절하게 식별하며, 가장 도전적인 조직별 산업 위협보다 앞서 나갑니다. MITRE ATT&CK 컨텍스트

우크라이나를 상대로 한 최신 UAC-0218 공격에서 활용된 악의적인 TTP에 대해 깊이 파고들어 포괄적인 컨텍스트를 확보하고 사전적으로 방어하십시오. 아래 표를 참조하여 관련 ATT&CK 전술, 기술 및 하위 기술을 다루는 전용 시그마 규칙 전체 세트를 확인하십시오.

CERT-UA#11717 경고에서 UAC-0218 활동과 관련된 IOC 검색을 간소화하기 위해 Uncoder AI를 사용하십시오.

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.
무료 가입하기 미팅 예약하기

관련 게시물

UAC-0226 공격 탐지: 우크라이나의 혁신 허브 및 정부 기관을 겨냥한 GIFTEDCROOK 스틸러 사이버 스파이 캠페인
블로그, 최신 위협 — 3 분 읽기
UAC-0226 공격 탐지: 우크라이나의 혁신 허브 및 정부 기관을 겨냥한 GIFTEDCROOK 스틸러 사이버 스파이 캠페인
Veronika Telychko
UAC-0219 공격 탐지: 새로운 사이버 스파이전 캠페인 – PowerShell Stealer WRECKSTEEL 사용
블로그, 최신 위협 — 3 분 읽기
UAC-0219 공격 탐지: 새로운 사이버 스파이전 캠페인 – PowerShell Stealer WRECKSTEEL 사용
Veronika Telychko
UAC-0200 공격 탐지: 다크크리스탈 RAT을 사용한 우크라이나군 및 방위 산업 분야를 노리는 사이버 스파이 활동
블로그, 최신 위협 — 3 분 읽기
UAC-0200 공격 탐지: 다크크리스탈 RAT을 사용한 우크라이나군 및 방위 산업 분야를 노리는 사이버 스파이 활동
Veronika Telychko