사이버 무기로서의 WinRAR: UAC-0165, RoarBat으로 우크라이나 공공 부문 공격

전 세계 사이버 전쟁 발발 이후, 우크라이나와 그녀의 동맹 국가들은 여러 해킹 집단이 시작한 다양한 악의적인 캠페인의 표적이 되었습니다. 전문가들은 2022년에 우크라이나에 대한 사이버 공격이 250% 증가했으며, 그 중 2,000건 이상이 러시아 관련 위협 행위자에 의해 시작되었습니다 본격적인 침공이 시작된 이후로.

2023년 4월 29일, CERT-UA는 새로운 경고를 발령했습니다 대규모 사이버 공격을 다루며, 이는 WinRAR을 악용하고 RoarBat 악성 스크립트를 사용하여 우크라이나 정부 기관의 IT 인프라를 파괴하려는 것이었습니다. CERT-UA는 러시아가 지원하는 Sandworm APT가 이 침입에 책임이 있을 가능성이 있다고 추정합니다. 이는 국가 정보 기관 ‘Ukrinform’의 정보 및 통신 시스템에 대한 공격과의 중대한 중첩이 있기 때문입니다. 2023년 1월에 발생했습니다.

UAC-0165 그룹 (Sandworm APT)에 의한 최신 파괴적 사이버 공격 분석

최신 CERTUA#6550 경고는 사이버 수비수에게 우크라이나 공공 부문 IT 인프라를 마비시키려는 대규모 사이버 공격을 경고합니다. 구체적으로 서버 장비 및 데이터 저장 시스템의 운영이 최근의 악의적인 운영의 결과로 중단되었습니다. 이 공격은 Sandworm APT 그룹에 기인합니다.. 

특히, Windows 시스템은 RoarBat .BAT 스크립트로 표적이 되었으며, 이는 디스크 또는 특정 디렉토리에서 파일을 재귀적으로 검색하여 정품 WinRAR 프로그램을 사용해 ‘-df’ 기능을 사용하여 이를 아카이브했습니다. 결국 소스 파일과 생성된 아카이브 모두 삭제되었습니다. 동시에, Linux 시스템은 표준 “dd” 유틸리티를 활용하여 파일을 0 바이트로 덮어쓰는 BASH 스크립트로 공격을 받았습니다.

CERT-UA 전문가들은 이 파괴적 운영이 ‘Ukrinform’의 정보 및 통신 시스템에 대한 공격과 유사한 점이 많다고 추정합니다. 따라서, 최신의 우크라이나 공공 부문 공격은 중간 수준의 신뢰도로 러시아가 지원하는 Sandworm APT에 기인됩니다. 그러나 집중 공격 추적을 위해 CERT-UA는 UAC-0165 식별자를 사용합니다.

특히, 원격 VPN 연결 시 다중 인증이 부족하고 네트워크 세분화가 불충분하여 적들이 성공적으로 공격을 진행할 수 있었습니다. 사용자는 CERT-UA 권장 사항에 따라. 

CERT-UA#6550 알림에 포함된 UAC-0165 악의 활동 탐지

조직이 UAC-0165와 관련된 악의 활동을 신속히 식별할 수 있도록 SOC Prime 플랫폼은 관련된 시그마 규칙 세트를 선별합니다. 모든 탐지 알고리즘은 “CERT-UA#6550” 및 “UAC-0165”이라는 맞춤 태그로 필터링되어 SOC 콘텐츠 선택을 간소화합니다.

클릭하여 탐지 탐색 버튼을 누르면 최신 UAC-0165 공격을 탐지하는 시그마 규칙의 전체 컬렉션에 접근할 수 있습니다. 모든 규칙은 MITRE ATT&CK® 프레임워크 v12와 정렬되어 있으며, 심층적인 사이버 위협 콘텐츠로 보강되고, 특정 보안 요구에 맞도록 28개 이상의 SIEM, EDR, XDR 솔루션과 호환됩니다.

탐지 탐색

사이버 수비수는 우크라이나 정부 기관에 대한 최신 Sandworm 작전에 연관된 침입 지표 (IoCs)를 탐색하여 위협 탐지 활동을 자동화할 수도 있습니다. Uncoder.IO를 통해 그냥 파일, 호스트, 또는 네트워크의 CERT-UA 제공 IOCs 를 도구에 붙여넣고 대상 쿼리의 콘텐츠 유형을 선택하면, 선택한 환경에서 실행 준비가 된 성능 최적화 IOC 쿼리를 즉시 생성할 수 있습니다.

MITRE ATT&CK 컨텍스트

최신 CERT-UA 경고에 포함된 UAC-0165의 파괴적 사이버 공격의 심층적 컨텍스트를 탐구하기 위해, 위에 언급된 모든 시그마 규칙은 관련 전술 및 기술을 다루는 ATT&CK v12로 태그되어 있습니다: