UAC-0252 공격 탐지: SHADOWSNIFF 및 SALATSTEALER가 우크라이나에서 피싱 캠페인을 가속화

2026년 1월부터 CERT-UA는 SHADOWSNIFF 및 SALATSTEALER 정보 탈취기를 중심으로 UAC-0252에 의해 수행된 침입 시도를 추적하고 있습니다. 이 캠페인은 정교하게 설계된 피싱 유인물이 있으며, 합법적인 인프라에 페이로드를 배치하고 위장된 EXE 파일을 사용자가 실행하도록 유도합니다.

CERT-UA#20032에 언급된 UAC-0252 공격 탐지

에 따르면 Check Point의 2025년 2분기 피싱 동향 연구에 따르면 피싱은 사이버 범죄자들의 핵심 도구로 남아 있으며, 신뢰성이 높고 사용자 수가 많은 브랜드를 사칭하는 사례가 계속 증가하고 있습니다. 중요한 인프라와 정부 조직을 대상으로 한 더 조직적이고 정교한 작업이 이루어지는 가운데, CISA는 글로벌 위험 감소와 집단적인 복원력 향상을 위해 2025–2026 국제 전략 계획 을 발표했습니다.

SOC Prime 플랫폼에 가입 하여 UAC-0252 공격으로부터 조직을 사전에 방어하세요. 아래 탐지 보기 를 클릭하여 AI 기반으로 강화된 관련 탐지 규칙 스택에 액세스하세요 CTI, MITRE ATT&CK® 프레임워크에 매핑되고 다양한 SIEM, EDR, 데이터 레이크 기술과 호환됩니다.

탐지 보기

보안 전문가들은 또한 관련 CERT-UA 경보 식별자를 기반으로 한 “CERT-UA#20032” 태그를 사용하여 탐지 스택을 직접 검색하고 콘텐츠 변화를 추적할 수 있습니다. 적 관련 공격을 탐지하기 위한 추가 규칙에 대해서는 “UAC-0252” 태그를 사용하여 위협 탐지 마켓플레이스 라이브러리에서 검색할 수 있습니다.

SOC Prime 사용자들은 또한 Uncoder AI 를 활용하여 원시 위협 보고서로부터 탐지를 생성하고, 규칙 코드를 문서화하고 최적화하며, 몇 번의 클릭으로 Attack Flow를 생성할 수 있습니다. 최신 CERT-UA 경고의 위협 인텔을 활용하여 IOCs를 성능 최적화된 쿼리로 쉽게 변환하여 선택한 SIEM 또는 EDR 환경에서 사냥할 준비를 할 수 있습니다.

SHADOWSNIFF와 SALATSTEALER를 사용한 UAC-0252 공격 분석

2026년 1월부터 CERT-UA는 우크라이나 내 다양한 엔티티를 대상으로 하는 지속적인 피싱 캠페인을 추적하고 있습니다. 이메일 메시지는 주로 중앙 정부 기관이나 지역 행정기관을 사칭하며, 일반적으로 널리 배포된 민간 및 군사 시스템에 사용되는 모바일 앱을 업데이트하라는 요청을 포함하고 있습니다.

CERT-UA#20032 경고 에는 두 가지 일반적인 전달 경로가 설명되어 있습니다. 첫 번째는 이메일에 첨부된 아카이브에 EXE 파일이 포함된 경우입니다. 공격자는 수신자가 아카이브를 열고 실행 파일을 실행하도록 유도합니다. 두 번째는 교차 사이트 스크립팅(XSS)에 취약한 합법적인 웹사이트로 연결되는 링크를 포함하는 경우입니다. 사용자가 페이지를 방문하면, 브라우저에서 주입된 JavaScript가 실행되어 컴퓨터에 실행 파일을 다운로드합니다. 두 시나리오 모두에서 CERT-UA는 EXE 파일과 스크립트가 정상적인 GitHub 서비스를 사용하여 호스팅됨으로써 정상적인 웹 트래픽과 섞여 환경에서 기본적인 도메인 차단이 덜 효과적임을 지적합니다.

2026년 1월과 2월 동안 CERT-UA는 SHADOWSNIFF, SALATSTEALER, DEAFTICK을 포함한 여러 악성 도구가 사용된 것을 확인했습니다.

SHADOWSNIFF는 GitHub에 호스팅된 것으로 보고되었으며, SALATSTEALER는 일반적으로 브라우저 인증정보를 대상으로 하고 활성 세션을 탈취하며 암호화 관련 데이터를 수집하는 Go 기반 정보 탈취기로 설명됩니다. 같은 툴킷에서 CERT-UA는 Go로 작성된 원시 백도어 DEAFTICK도 보고했으며, 이는 공격자가 감염된 호스트에 기본 접근을 유지하고 후속 액션을 지원할 가능성이 높습니다.

저장소 분석 중에 CERT-UA는 내부적으로 ‘AVANGARD ULTIMATE v6.0’로 명명된 랜섬웨어 암호화기의 특성을 가진 프로그램을 발견했다고 보고합니다. 동일한 GitHub 생태계에는 또한 WinRAR에 대한 취약점(CVE-2025-8088)을 가진 아카이브가 있었으며, 이는 조작된 아카이브를 통해 임의 코드 실행을 가능하게 하는 Windows WinRAR의 경로 탐색 문제로, 야생에서 악용된 것으로 보고되었습니다. 이는 운영자들이 단순히 자격 증명을 탈취하는 것뿐 아니라 보다 큰 영향을 미칠 수 있는 추가 도구를 실험하고 있었음을 시사합니다.

조사 세부 정보와 공개적으로 사용 가능한 도구와의 중복을 기반으로 CERT-UA는 설명된 활동을 ‘PalachPro’ 텔레그램 채널에서 논의된 개인들과 연결하면서 UAC-0252 캠페인을 계속 추적하고 있습니다.

MITRE ATT&CK 맥락

MITRE ATT&CK를 활용하면 우크라이나 엔티티를 대상으로 한 최신 UAC-0252 피싱 캠페인에 대한 심층적인 통찰을 얻을 수 있습니다. 아래 표에는 관련 ATT&CK 전술, 기술 및 하위 기술에 매핑된 모든 관련 Sigma 규칙이 표시됩니다.