해커 그룹 UAC-0063, 유럽 대사관 대상 사이버 공격 확대

최근 사이버 보안업계에서 고도의 지속적 위협(APT) 그룹 UAC-0063이 유럽 내 대사관을 대상으로 한 사이버 공격을 확대하고 있다는 분석이 나왔습니다.
해커들은 피해자로부터 탈취한 문서를 활용해 새로운 공격을 시도하고 있으며, 악성코드 ‘HATVIBE’를 배포하는 것이 관찰되었습니다.

공격의 주요 특징

Bitdefender의 마틴 주젝(Martin Zugec)에 따르면, 이번 조사는 UAC-0063의 운영 방식과 공격 대상이 중앙아시아에서 유럽으로 확장되었음을 증명하는 내용이 포함되어 있습니다.
이번 공격의 주요 표적으로는 독일, 영국, 네덜란드, 루마니아, 조지아의 대사관과 정부 기관이 포함되었습니다.

UAC-0063은 2023년 5월에 처음 발견된 이후 주로 중앙아시아 정부 기관을 상대로 'DownEx(일명 STILLARCH)'라는 데이터 탈취형 악성코드를 활용한 캠페인을 진행해 왔습니다.
이들은 러시아 정부 후원을 받는 것으로 의심되는 APT28과 관련되었을 가능성이 높습니다.

새로운 악성코드 발견

최근 연구에서 UAC-0063이 기존 악성코드 외에도 USB 데이터 탈취 도구인 ‘PyPlunderPlug’를 활용하고 있음이 밝혀졌습니다.
이들은 정교한 TTP(전술, 기술 및 절차)를 활용하여 정부 기관 및 교육 기관을 지속적으로 공격하고 있으며, 이 과정에서 합법적인 문서를 해킹에 활용하는 사례가 증가하고 있습니다.

악성코드 ‘DownExPyer’의 기능

UAC-0063이 사용한 ‘DownExPyer’는 다음과 같은 기능을 수행할 수 있습니다.

• 특정 확장자를 가진 파일을 C2(명령제어) 서버로 전송
• 키로깅 및 수집된 데이터를 외부 전송 후 삭제
• 시스템 정보 수집 및 명령 실행
• 파일 시스템 탐색, 스크린샷 캡처
• 특정 작업 종료

이 악성코드는 2년간 주요 기능이 변하지 않았으며, 이는 해당 악성코드가 이미 2022년 이전부터 운영되고 있었음을 시사합니다.

실제 공격 사례

올해 1월, 독일의 한 기업이 UAC-0063의 공격을 받은 사례가 보고되었습니다.
이 과정에서 DownEx, DownExPyer, HATVIBE가 한꺼번에 사용되었으며, 추가로 키로깅을 수행하는 Python 스크립트가 발견되었습니다.

Bitdefender의 분석에 따르면, UAC-0063은 지속적이고 정교한 해킹 그룹으로, 주요 국가 및 기관의 데이터를 지속적으로 수집하며 정보 수집과 스파이 활동을 수행하고 있습니다.
그들의 활동은 러시아 정부의 전략적 이해관계와 일치하는 모습도 보입니다.

결론

UAC-0063은 점점 정교한 방식으로 정부 기관을 공격하고 있으며, 피해를 최소화하기 위해서는 보안 대응 전략이 필수적입니다.
특히, 출처가 불분명한 문서와 파일을 신중하게 검토하고, 철저한 보안 업데이트와 네트워크 모니터링이 필요합니다.

📌 지속적으로 업데이트되는 사이버 보안 뉴스를 확인하고 싶다면?
트위터(@thehackersnews)와 링크드인에서 최신 정보를 받아보세요!

👉 더 많은 사이버 보안 뉴스 보기