팔로우 
피싱은 특히 위협 행위자가 신뢰받는 기관과 익숙한 디지털 서비스의 신뢰도를 악용해 피해자의 상호작용을 늘릴 때, 사이버 범죄자들의 무기고에서 여전히 가장 효과적인 도구 중 하나로 남아 있습니다. 2026년 3월 말, CERT-UA는 UAC-0255로 추적되는 피싱 캠페인을 공개했으며, 공격자들이 기관을 사칭하고 AGEWHEEZE RAT로 우크라이나 전역의 공공 및 민간 부문 조직을 감염시키려 시도했다고 밝혔습니다.
CERT-UA#21075에 포함된 UAC-0255 공격 탐지
Europol notes 피싱이 데이터 탈취형 악성코드의 주요 유포 벡터로 남아 있다고 지적하며, 이메일 및 URL 기반 소셜 엔지니어링이 악성코드 전달의 핵심으로 계속 작동하고 있음을 보여줍니다. 같은 양상은 2026년 내내 우크라이나를 대상으로 CERT-UA가 문서화해 온 피싱 활동 전반에서도 확인됩니다.
올해 초, CERT-UA는 UAC-0190 campaign이 우크라이나 군을 대상으로 PLUGGYAPE 백도어를 사용했다고 보고했으며, 이후 UAC-0252 activity를 공개해 중앙 행정기관 및 지역 행정기관을 사칭한 이메일이 피해자들을 유인하여 SHADOWSNIFF 및 SALATSTEALER 페이로드를 실행하도록 했다고 밝혔습니다. CERT-UA#21075 alert에 포함된 최신 UAC-0255 공격은 이와 같은 더 큰 흐름에 부합하며, 위협 행위자들은 이제 CERT-UA 자체의 정체성을 악용해 미끼의 설득력을 높이고 공공 및 민간 부문 조직 전반으로 표적 범위를 확장하고 있습니다.
SOC Prime Platform에 등록하세요. 이를 통해 UAC-0255 및 유사 공격을 가능한 한 초기 단계에서 선제적으로 탐지할 수 있습니다. 아래의 탐지 보기를 누르면 관련 탐지 룰 스택에 액세스할 수 있으며, AI 네이티브 CTI로 보강되어 MITRE ATT&CK® framework에 매핑되어 있고, 다양한 SIEM, EDR 및 Data Lake 기술과 호환됩니다.
보안 전문가는 관련 CERT-UA 경보 식별자를 기반으로 “CERT-UA#21075” 태그를 사용해 탐지 스택을 직접 검색하고 콘텐츠 변경 사항을 추적할 수도 있습니다. 적대자 관련 공격을 탐지하기 위한 더 많은 룰을 찾으려면, 사이버 방어 담당자는 Threat Detection Marketplace 라이브러리에서 “UAC-0255” 태그로 검색할 수 있습니다.
또한 사이버보안 전문가는 Uncoder AI를 활용해 위협 인텔리전스를 실시간으로 분석하고, Attack Flow, Sigma 룰, 시뮬레이션 및 검증을 생성하며, 56개 언어로 탐지를 설계하고, 맞춤형 에이전틱 워크플로를 만들 수 있습니다. 자세한 내용은 https://socprime.ai/에서 확인하세요.
CERT-UA 사칭으로 AGEWHEEZE를 배포하는 UAC-0255 공격 분석
2026년 3월 26~27일, CERT-UA는 공격자가 기관을 사칭하고 수신자에게 Files.fm 서비스에서 비밀번호로 보호된 아카이브를 다운로드하도록 유도한 피싱 캠페인을 식별했습니다. 해당 아카이브에는 “CERT_UA_protection_tool.zip” 및 “protection_tool.zip”이 포함되어 있었습니다. 이 아카이브에는 표적 조직이 설치해야 하는 특수 소프트웨어로 위장한 악성 콘텐츠가 들어 있었습니다.
악성 이메일은 우크라이나 전역에 광범위하게 배포되었고 정부 기관, 의료 센터, 보안 업체, 교육 기관, 금융 기관, 소프트웨어 개발 회사 및 기타 엔터티를 표적으로 삼아, 공공 및 민간 부문 전반에 걸친 캠페인의 범위를 보여주었습니다.
CERT-UA#21075 경보는 또한 공식 cert-ua[.]tech라는 사기 웹사이트의 발견도 상세히 다루는데, 이 사이트는 공식 cert.gov.ua 웹사이트의 자료를 재사용하고 가짜 보호 도구를 다운로드하는 방법을 안내했습니다. 이는 우크라이나 컴퓨터 비상대응팀에 대한 신뢰를 악용해 미끼의 합법성을 강화하고 사용자 상호작용 가능성을 높이는 데 공격자들에게 도움을 주었습니다.
설치용으로 제공된 실행 파일은 CERT-UA가 AGEWHEEZE로 추적하는 다기능 원격 액세스 악성코드 변종으로 확인되었습니다. AGEWHEEZE는 폭넓은 원격 관리 기능을 지원하는 Go 기반 RAT입니다. 명령 실행 및 파일 관리와 같은 표준 기능 외에도, 이 악성코드는 화면 콘텐츠를 스트리밍하고 마우스 및 키보드 입력을 에뮬레이션하며 클립보드와 상호작용하고 프로세스 및 서비스를 관리하며 감염된 호스트에서 URL을 열 수 있습니다.
악성코드의 C2(Command-and-Control) 인프라는 프랑스 제공업체 OVH(AS16276) 네트워크에 호스팅되어 있었습니다. 8443/tcp 포트에서 연구진은 인증 폼이 포함된 “The Cult”라는 제목의 웹페이지를 관찰했으며, HTML 소스에는 서비스 접근이 차단되었다는 내용을 언급하는 러시아어 문자열이 포함되어 있었습니다. CERT-UA는 또한 관련 자체 서명 SSL 인증서가 2026년 3월 18일에 생성되었고 Organization 필드에 “TVisor” 값이 포함되어 있음을 확인했습니다.
AI로 생성된 cert-ua[.]tech 웹사이트를 검토하는 과정에서, CERT-UA는 “With Love, CYBER SERP.”라는 문구를 포함해 CyberSerp 텔레그램 채널에 대한 내장 참조를 발견했습니다. 2026년 3월 28일, 동일한 텔레그램 채널은 공격에 대한 책임을 공개적으로 주장했으며, 이는 기술적 귀속(attribution)과 관련된 불확실성을 해소하는 데 도움이 되었습니다. 이러한 발견을 바탕으로 CERT-UA는 해당 활동에 UAC-0255 식별자를 부여했습니다.
표적 범위가 넓었음에도 불구하고, CERT-UA는 이번 공격이 실패한 것으로 평가했습니다. 조사관들은 교육 기관 직원 소유의 개인 기기 몇 대만 감염된 것을 확인했으며, 대응팀은 필요한 실무적 및 방법론적 지원을 제공했습니다.
MITRE ATT&CK 컨텍스트
MITRE ATT&CK를 활용하면 CERT-UA를 사칭한 최신 UAC-0255 피싱 캠페인에 대한 심층적인 인사이트를 얻을 수 있습니다. 아래 표에는 관련 ATT&CK 전술, 기법 및 하위 기법에 매핑된 모든 관련 Sigma 룰이 표시됩니다.
