요약 : 보안 블로그 시큐리티어페어즈에 의하면 UAC-0999라는 이름으로 관찰되고 있는 APT 단체가 우크라이나의 조직들을 계속해서 공격하고 있다고 한다. 최근에는 윈라(WinRAR)라는 압축 유틸리티에서 발견된 CVE-2023-38831 취약점을 통해 론페이지(LonePage)라는 멀웨어를 유포하는 중이라고 한다. 론페이지는 VB스크립트를 기반으로 만들어진 멀웨어로, 최초 침투 이후 피해자의 시스템에 추가 페이로드를 설치하는 기능을 가지고 있다. 주로 키로거나 정보 탈취 멀웨어 등이 유포되는 것으로 현재는 분석되고 있다.


배경 : UAC-0999는 2022년 중반부터 우크라이나의 조직들을 공략하기 시작했다. 원래는 각종 매체들이 주로 공격 대상이었다. CVE-2023-38831은 8월 2일자 패치를 통해 해결이 됐으나 아직 사용자들이 보편적으로 적용하지 않고 있어서 여전히 익스플로잇 공격이 가능하다. 개념 증명용 익스플로잇 코드가 깃허브에 공개되어 있기도 하다.

말말말 : “UAC-0999는 간단하지만 효율이 높은 공격을 주로 합니다. 파워셸에 대한 의존도가 높은 편이며 피해자의 컴퓨터에 있는 스케줄러 기능을 통해 공격 지속성을 확보하는 전략을 즐겨 사용하기도 합니다.” -딥인스팅트(Deep Instinct)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>