Kant's IT/Issue on IT&Security

UAC-0212, 우크라이나 주요 인프라를 겨냥한 치명적 사이버 공격

Kant Jo 2025. 3. 7. 14:00

UAC-0212: Hackers Unleash Devastating Cyber Assault on Critical Infrastructure

 

UAC-0212: Hackers Unleash Devastating Cyber Assault on Critical Infrastructure

Hackers have launched a targeted campaign, identified as UAC-0212, aimed at compromising critical infrastructure facilities in Ukraine.

gbhackers.com

 

  • 공격 개요
    • UAC-0212 캠페인: 2024년 하반기부터 시작된 이번 캠페인은 우크라이나 주요 인프라 시설을 겨냥
    • 목표: 에너지, 수도, 난방 공급 등 중요한 산업의 정보통신 시스템(ICS)을 교란
    • 피해 대상: 자동화 및 공정 제어 솔루션 개발사와 공급업체의 네트워크를 통해 침투
  • 공격 방법 및 기술적 세부사항
    • 악성 PDF 문서 배포
      • PDF 문서 내 악성 링크 포함
      • CVE-2024-38213 취약점을 악용해 LNK 파일 다운로드 유도
    • 공격 체인 및 주요 도구
      • LNK 파일 실행 시 PowerShell 명령어가 작동
      • 사용자에게는 가짜 문서가 표시되지만, 백그라운드에서는 악성 EXE/DLL 파일 다운로드 및 설치
      • 사용된 주요 공격 도구: SECONDBEST, EMPIREPAST, SPARK, CROOKBAG
      • 장기적인 문서 탈취 목적으로 RSYNC 사용
    • 사회 공학적 기법 활용
      • 공격자는 잠재 고객으로 위장해 피해 기업과 며칠간 이메일을 주고받으며 신뢰를 쌓음
      • 신뢰를 얻은 후 악성 문서를 전송, 초기 침투에 성공 후 수 시간 내에 서버 및 워크스테이션에 지속성(Persistence) 확보
  • 공격 영향
    • 공격은 우크라이나뿐만 아니라 세르비아, 체코공화국의 물류 및 장비 제조업체에도 피해
    • 단순히 감염 시스템을 식별하고 재설치하는 것만으로는 충분하지 않음
  • 보안 권고
    • 공급업체는 CERT-UA와 접촉해 포괄적인 기술 조사 및 사고 대응 진행
    • 제공된 사이버 위협 지표(IOC)를 활용해 추가 피해 예방
    • 고급 위협 탐지 도구 사용 및 네트워크 정기 감사 실시
    • 의심스러운 이메일 및 문서 다운로드 주의
    • 지속적인 모니터링 및 사이버 보안 기관과의 협업을 통해 새로운 위협에 대응
  •  
  • 추가 보안 조치
    • PDF 문서 내 링크 클릭 시 알림 설정
    • PowerShell 및 스크립트 기반 명령어 실행 감시
    • 서버 및 중요 시스템에 대한 비정상적인 RSYNC 활동 탐지
  • 결론
    • UAC-0212 공격은 주요 인프라를 겨냥한 사이버 위협의 심각성을 보여줌
    • 주요 인프라 기업은 공격 초기 단계에서 탐지하고 차단할 수 있는 보안 역량을 갖춰야 함
    • 정기적인 보안 교육과 시나리오 기반 모의 훈련을 통해 직원들의 사회 공학적 공격 인식 강화 필요