UAC-0252 공격 탐지: SHADOWSNIFF 및 SALATSTEALER가 우크라이나에서 피싱 캠페인을 가속화

2026년 1월부터 CERT-UA는 UAC-0252에 의한 일련의 침입을 추적하고 있으며 SHADOWSNIFF 및 SALATSTEALER 정보 수집기를 중심으로 구축되었습니다. 이 캠페인은 정교하게 만들어진 피싱 유인책, 합법적인 인프라에 페이로드 설정, 그리고 위장된 EXE 파일의 사용자 주도 실행에 의존합니다.

CERT-UA#20032에서 다루어진 UAC-0252 공격 탐지

에 따르면 2025년 2분기 피싱 동향 Check Point의 연구에 따르면 피싱은 여전히 사이버 범죄자에게 핵심 도구이며, 널리 신뢰받고 사용되는 브랜드를 사칭하는 사례가 계속 늘어나고 있습니다. 더 정교하고 조율된 운영을 배경으로 인해 주요 인프라와 정부 기관을 대상으로 한 운영이 늘어나는 가운데, CISA는 글로벌 위험 감소를 증진하고 집단적 복원력을 향상하기 위한 2025–2026 국제 전략 계획 을 발표했습니다.

UAC-0252 공격으로부터 조직을 적극적으로 방어하기 위해 SOC Prime 플랫폼에 가입하세요. 아래의 탐지 탐색 을 눌러 AI 기반으로 강화된 관련 탐지 규칙 스택에 액세스하세요 , 다음과 같이 매핑됨 CTIMITRE ATT&CK® 프레임워크 , 다양한 SIEM, EDR, 데이터 레이크 기술과 호환 가능.보안 전문가들은 또한 적절한 CERT-UA 경고 식별자를 기반으로 한 “

을 눌러 AI 기반으로 강화된 관련 탐지 규칙 스택에 액세스하세요

” 태그를 사용하여 탐지 스택을 직접 검색하고 콘텐츠 변경 사항을 추적할 수 있습니다. 적 관련 공격을 탐지하기 위한 더 많은 규칙을 위해 사이버 방어자는 “” 태그를 사용하여 탐지 스택을 직접 검색하고 콘텐츠 변경 사항을 추적할 수 있습니다. 적 관련 공격을 탐지하기 위한 더 많은 규칙을 위해 사이버 방어자는 “” 태그를 사용하여 위협 탐지 마켓플레이스 라이브러리를 검색할 수 있습니다.” 태그를 사용하여 위협 탐지 마켓플레이스 라이브러리를 검색할 수 있습니다.SOC Prime 사용자는 또한 원시 위협 보고서로부터 탐지를 생성하고, 규칙 코드를 문서화 및 최적화하며, 몇 번의 클릭으로 공격 플로우를 생성하기 위해

를 활용할 수 있습니다. 최신 CERT-UA 경고로부터의 위협 인텔을 활용하여 팀은 선택한 SIEM 또는 EDR 환경에서 IOC를 성능 향상된 쿼리로 쉽게 변환할 수 있습니다. 를 활용할 수 있습니다. 최신 CERT-UA 경고로부터의 위협 인텔을 활용하여 팀은 선택한 SIEM 또는 EDR 환경에서 IOC를 성능 향상된 쿼리로 쉽게 변환할 수 있습니다. SHADOWSNIFF 및 SALATSTEALER를 사용하는 UAC-0252 공격 분석

2026년 1월부터 CERT-UA는 우크라이나의 엔터티를 대상으로 한 반복적인 피싱 캠페인을 추적해 오고 있습니다. 이메일 메시지는 중앙 정부 기관이나 지역 행정 기관을 사칭하도록 구성되며, 일반적으로 널리 배포된 민형 및 군 시스템에서 사용하는 모바일 앱을 업데이트하라는 요청을 포함합니다.

CERT-UA#20032 경고

는 두 가지 일반적인 배달 경로를 설명합니다. 첫 번째 경로에서는 이메일에 EXE 파일이 포함된 아카이브가 첨부되어 있습니다. 공격자는 수신자가 아카이브를 열고 실행 파일을 실행하도록 의존합니다. 두 번째 경로에서는 이메일에 크로스사이트 스크립팅 (XSS)에 취약한 합법적인 웹사이트로의 링크가 포함되어 있습니다. 피해자가 페이지를 방문하면 주입된 자바스크립트가 브라우저에서 실행되어 컴퓨터로 실행 파일을 다운로드합니다. 두 시나리오 모두에서 CERT-UA는 EXE 파일과 스크립트가 합법적인 GitHub 서비스에 호스팅되어 있어 많은 환경에서 일반적인 웹 트래픽과 혼합되고 기본적인 도메인 차단을 덜 효과적으로 만듭니다. 2026년 1월과 2월 동안 CERT-UA는 SHADOWSNIFF, SALATSTEALER, DEAFTICK을 포함한 여러 악성 도구가 사용된 활동을 확인했습니다.

SHADOWSNIFF는 GitHub에 호스팅된 것으로 보고되었고, SALATSTEALER는 브라우저 자격 증명을 타겟으로 하고 활성 세션을 도용하며 암호화 관련 데이터를 수집하는 Go 기반 정보 탈취기로 흔히 설명됩니다. 같은 도구 세트에서 CERT-UA는 또한 감염된 호스트에 기본 접근을 유지하고 후속 조치를 지원하는 데 도움이 될 가능성이 있는, Go로 작성된 원시 백도어 DEAFTICK이 보고됩니다.

저장소 분석 중 CERT-UA는 내부적으로 «AVANGARD ULTIMATE v6.0»이라는 특징의 랜섬웨어 암호화기를 발견했다고 보고합니다. 동일한 GitHub 생태계에는

WinRAR (CVE-2025-8088) 취약점을 위한 익스플로이트가 포함된 아카이브도 있었고, 이는 잘 만들어진 아카이브를 통해 임의 코드 실행을 가능하게 하는 Windows WinRAR의 경로 탐색 문제로, 실제로 악용된 것으로 보고되었습니다. 이는 운영자들이 자격 증명을 탈취할 뿐만 아니라 영향을 확대할 수 있는 추가 도구를 실험하고 있음을 시사합니다.조사 세부사항과 공공으로 이용 가능한 도구들과의 중첩, 실험을 포함한 툴링 중첩에 기초하여 CERT-UA는 설명된 활동을 «PalachPro» 텔레그램 채널에서 다뤄진 개인과 연결시키고 있으며 UAC-0252 하에서 캠페인을 추적하고 있습니다.

MITRE ATT&CK 맥락

MITRE ATT&CK 활용은 우크라이나 엔터티를 대상으로 하는 최신 UAC-0252 피싱 캠페인에 대한 심층적인 통찰을 제공합니다. 아래 표는 관련된 ATT&CK 전술, 기술, 하위 기술에 매핑된 모든 관련 Sigma 규칙을 표시합니다.

Tactics	Techniques	Sigma Rules
Initial Access	Phishing: Spearphishing Attachment (T1566)	Suspicious Extracted Files from an Archive (via file_event) Execution from RAR Archive [WinRAR] (via process_creation)
Execution	Exploitation for Client Execution (T1203)	Execution from RAR Archive [WinRAR] (via process_creation) Possible CVE-2025-8088 / CVE-2025-6218 (WinRAR Vulnerability) Exploitation Attempt (via file_event)
	User Execution: Malicious File (T1204.002)	Execution from RAR Archive [WinRAR] (via process_creation)
Persistence	Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (T1547.001)	Possible Persistence Points [ASEPs - Software/NTUSER Hive] (via registry_event)
		Possible Persistence Points [ASEPs - Software/NTUSER Hive] (via cmdline)
Defense Evasion	Masquerading: Masquerade Task or Service (T1036.004)	Suspicious Svchost Processes (via process_creation)
	Masquerading: Match Legitimate Resource Name or Location (T1036.005)	Abnormal System Process Chain (via process_creation)
	Process Injection: Process Hollowing (T1055.012)	Abnormal System Process Chain (via process_creation)
	Impair Defenses: Disable or Modify Tools (T1562.001)	Disable Windows Defender Realtime Monitoring and Other Preferences Changes (via cmdline)
	Hide Artifacts: Hidden Files and Directories (T1564.001)	Attrib Execution to Hide Files (via cmdline)
	Hide Artifacts: File/Path Exclusions (T1564.012)	Disable Windows Defender Realtime Monitoring and Other Preferences Changes (via cmdline)
		Risky Microsoft Defender Exclusions Added (via cmdline)
Command and Control	Application Layer Protocol: Web Protocols (T1071.001)	Suspicious File Download Direct IP (via proxy)
		Suspicious Command and Control by Unusual Top Level Domain (TLD) DNS Request (via dns)

CERT-UA에서 제공하는 UAC-0252 IOC를 기반으로 Uncoder를 통한 IOC-to-query 변환