it

UAC-0050, 스푸핑된 도메인 및 RMS Malware로 유럽 금융 기관을 표적

발행: (2026년 2월 24일 오후 11:21 GMT+9)
7 분 소요
원문: The Hacker News

Source: The Hacker News

Source: https://example.com/article

개요

Ravie Lakshmanan
2026 년 2 월 24 일사이버 스파이 활동 / 악성코드

은행 사이버 공격

러시아와 연계된 위협 행위자가 사회공학 캠페인의 일환으로 유럽 금융 기관을 표적으로 삼은 것으로 관찰되었습니다. 이는 정보 수집 또는 재정적 절도를 목표로 하는 것으로 보이며, 해당 행위자가 **전쟁으로 피폐된 국가**를 지원하는 조직으로 초점을 확대하고 있음을 시사합니다.

지역 개발 및 재건 사업에 관여하고 있는 익명 기관을 표적으로 한 이번 활동은 UAC‑0050(다빈치 그룹)으로 추적되는 사이버 범죄 그룹에 의해 수행된 것으로 판단됩니다. 블루보이언트는 이 위협 클러스터에 Mercenary Akula라는 이름을 부여했습니다. 이번 공격은 이번 달 초에 관찰되었습니다.

“공격자는 우크라이나 사법 도메인을 위장해 원격 접근 페이로드로 연결되는 링크가 포함된 이메일을 전달했습니다.”라고 연구원 Patrick McHale와 Joshua Green이 The Hacker News에 공유한 보고서에서 말했습니다. “대상은 조달 업무에 관여하는 고위 법률 및 정책 고문으로, 기관 운영 및 재정 메커니즘에 대한 특권적인 통찰을 가지고 있었습니다.”
— 블루보이언트 보고서

Gartner‑D

공격 흐름

  1. Spear‑phishing email – 법률 관련 문구를 사용하고 수신자를 PixelDrain에 호스팅된 아카이브 파일을 다운로드하도록 유도합니다. 이 파일‑공유 서비스는 행위자가 평판 기반 보안 제어를 우회하기 위해 사용합니다.
  2. Multi‑layered archive – 최초 ZIP 파일 안에 RAR 아카이브가 포함되어 있으며, 그 안에 비밀번호로 보호된 7‑Zip 파일이 들어 있습니다. 내부에는 *.pdf.exe와 같은 이중 확장자 기법을 이용해 PDF 문서로 가장한 실행 파일이 있습니다.
  3. Payload delivery – 실행 시 **Remote Manipulator System (RMS)**용 MSI 설치 프로그램이 떨어집니다. RMS는 원격 제어, 화면 공유 및 파일 전송을 가능하게 하는 러시아산 원격 데스크톱 도구입니다.

“이러한 ‘living‑off‑the‑land’ 도구의 사용은 공격자에게 지속적이고 은밀한 접근 권한을 제공하며, 전통적인 안티바이러스 탐지를 회피하는 경우가 많습니다,” 라고 연구원들이 언급했습니다.

RMS 배포는 이전 UAC‑0050의 작전 방식과 일치하며, 이 그룹은 우크라이나를 표적으로 하는 공격에서 정식 원격 액세스 소프트웨어(예: LiteManager)와 RemcosRAT와 같은 원격 액세스 트로잔을 배포하는 것으로 알려져 있습니다.

우크라이나 컴퓨터 비상 대응 팀(CERT‑UA)은 UAC‑0050을 러시아 법 집행 기관과 연계된 용병 그룹으로 규정했으며, 이 그룹은 데이터 수집, 금전 절도 및 정보·심리 작전을 Fire Cells 브랜드 아래에서 수행합니다.

“이번 공격은 용병 아쿨라(Mercenary Akula)의 잘 확립되고 반복적인 공격 프로필을 반영하면서도 눈에 띄는 발전을 보여줍니다,” 라고 BlueVoyant가 말했습니다. “첫째, 그들의 표적은 주로 우크라이나 기반 기관, 특히 회계사와 재무 담당자에 집중되어 왔습니다. 그러나 이번 사건은 서유럽에서 우크라이나를 지원하는 기관들을 탐색할 가능성을 시사합니다.”

더 넓은 맥락

ThreatLocker‑D

  • CrowdStrike – 연례 Global Threat Report 에서 이 회사는 러시아와 연계된 적대 세력이 우크라이나 표적 및 NATO 회원국으로부터 정보를 수집하기 위한 공격적인 작전을 지속할 것이라고 예측했습니다.
  • APT 29 (Cozy Bear / Midnight Blizzard) – 미국 NGO와 미국 법인 체계를 표적으로 하는 스피어 피싱 캠페인에서 신뢰, 조직의 신뢰도, 플랫폼 정당성을 “체계적으로” 악용하여 피해자의 Microsoft 계정에 무단 접근을 시도하고 있습니다.

“Cozy Bear는 목표 사용자가 …와 교류하던 개인들을 성공적으로 침해하거나 가장했다” (보고서 발췌)

“신뢰할 수 있는 전문 관계를 유지했다”고 CrowdStrike는 말했습니다. “가장된 인물에는 국제 NGO 지부 직원 및 친우크라이나 조직 구성원이 포함되었다.”

“적은 이러한 가장을 입증하기 위해 크게 투자했으며, 침해된 개인의 정식 이메일 계정과 일회용 커뮤니케이션 채널을 함께 사용해 진위성을 강화했다.”

모든 링크와 이미지는 원본 소스에서 그대로 유지되었습니다.

이 기사가 흥미롭다고 생각하셨나요? Google News, TwitterLinkedIn 를 팔로우하셔서 우리가 게시하는 독점 콘텐츠를 더 많이 확인하세요.

0 조회
#it #security #cybersecurity
원문 보기
Share:
Back to Blog

관련 글

더 보기 »