UAC-0212: Hackers Unleash Devastating Cyber Assault on Critical Infrastructure
UAC-0212: Hackers Unleash Devastating Cyber Assault on Critical Infrastructure
Hackers have launched a targeted campaign, identified as UAC-0212, aimed at compromising critical infrastructure facilities in Ukraine.
gbhackers.com
- 공격 개요
- UAC-0212 캠페인: 2024년 하반기부터 시작된 이번 캠페인은 우크라이나 주요 인프라 시설을 겨냥
- 목표: 에너지, 수도, 난방 공급 등 중요한 산업의 정보통신 시스템(ICS)을 교란
- 피해 대상: 자동화 및 공정 제어 솔루션 개발사와 공급업체의 네트워크를 통해 침투
- 공격 방법 및 기술적 세부사항
- 악성 PDF 문서 배포
- PDF 문서 내 악성 링크 포함
- CVE-2024-38213 취약점을 악용해 LNK 파일 다운로드 유도
- 공격 체인 및 주요 도구
- LNK 파일 실행 시 PowerShell 명령어가 작동
- 사용자에게는 가짜 문서가 표시되지만, 백그라운드에서는 악성 EXE/DLL 파일 다운로드 및 설치
- 사용된 주요 공격 도구: SECONDBEST, EMPIREPAST, SPARK, CROOKBAG
- 장기적인 문서 탈취 목적으로 RSYNC 사용
- 사회 공학적 기법 활용
- 공격자는 잠재 고객으로 위장해 피해 기업과 며칠간 이메일을 주고받으며 신뢰를 쌓음
- 신뢰를 얻은 후 악성 문서를 전송, 초기 침투에 성공 후 수 시간 내에 서버 및 워크스테이션에 지속성(Persistence) 확보
- 악성 PDF 문서 배포
- 공격 영향
- 공격은 우크라이나뿐만 아니라 세르비아, 체코공화국의 물류 및 장비 제조업체에도 피해
- 단순히 감염 시스템을 식별하고 재설치하는 것만으로는 충분하지 않음
- 보안 권고
- 공급업체는 CERT-UA와 접촉해 포괄적인 기술 조사 및 사고 대응 진행
- 제공된 사이버 위협 지표(IOC)를 활용해 추가 피해 예방
- 고급 위협 탐지 도구 사용 및 네트워크 정기 감사 실시
- 의심스러운 이메일 및 문서 다운로드 주의
- 지속적인 모니터링 및 사이버 보안 기관과의 협업을 통해 새로운 위협에 대응
- 추가 보안 조치
- PDF 문서 내 링크 클릭 시 알림 설정
- PowerShell 및 스크립트 기반 명령어 실행 감시
- 서버 및 중요 시스템에 대한 비정상적인 RSYNC 활동 탐지
- 결론
- UAC-0212 공격은 주요 인프라를 겨냥한 사이버 위협의 심각성을 보여줌
- 주요 인프라 기업은 공격 초기 단계에서 탐지하고 차단할 수 있는 보안 역량을 갖춰야 함
- 정기적인 보안 교육과 시나리오 기반 모의 훈련을 통해 직원들의 사회 공학적 공격 인식 강화 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| Google Cloud, 양자 안전 디지털 서명 추가, 미래 위협 대비 강화 (0) | 2025.03.07 |
|---|---|
| TSforge, Windows 활성화 우회 도구 등장 - 모든 버전 지원 (0) | 2025.03.07 |
| Microsoft 365를 노리는 130,000개 디바이스 봇넷의 패스워드 스프레이 공격 (0) | 2025.03.07 |
| IT가 놓친 사용자 40%를 위한 새로운 네트워킹 혁신 (0) | 2025.03.07 |
| AI 혁신을 위한 보편적 네트워크 패브릭, 이더넷(Ethernet)의 부상 (0) | 2025.03.07 |