보안정보

MalwareData TheftUkraineUAC-0247

UAC-0247, 우크라이나 의료기관·정부 겨냥 데이터 탈취 공격

분석팀 2026.04.17



우크라이나 CERT가 새로운 공격 캠페인을 공개했다.


이번 공격은 정부 및 시립 의료기관, 특히 병원과 응급 의료기관을 표적으로 한다.


공격의 목적은 크롬 기반 웹 브라우저와 WhatsApp에서 민감한 데이터를 훔칠 수 있는 악성 소프트웨어를 유포하는 것이다. 


해당 활동은 2026년 3월부터 4월 사이에 관찰되었으며, UAC-0247이라는 위협 그룹으로 추적된다.


현재 공격의 정확한 배후는 확인되지 않았다.


공격은 인도적 지원 제안으로 위장한 이메일에서 시작된다.


수신자에게 링크를 클릭하도록 유도한다.


해당 링크는 두 가지 경로로 이어진다.

(1) 크로스 사이트 스크립팅(XSS) 취약점이 있는 정상 웹사이트

(2) 인공지능(AI) 도구로 생성된 가짜 웹사이트


사이트 종류와 무관하게, 해당 공격의 최종 목적은 Windows 바로가기(LNK) 파일을 다운로드하고 실행이다.


사용자가 이를 실행하면 Windows 기본 유틸리티인 "mshta.exe"를 통해 원격 HTML 애플리케이션(HTA) 파일이 실행된다.


HTA 파일은 피해자의 주의를 분산시키기 위해 미끼 화면을 표시한다.


동시에 정상적인 프로세스(예: "runtimeBroker.exe")에 쉘코드를 주입하는 악성 바이너리를 다운로드한다.


최근 공격에서는 2단계 로더가 사용됐다.


2단계는 자체 실행 파일 형식을 사용하여 구현되었다.


여기에는 코드 및 데이터 섹션에 대한 완벽한 지원, 동적 라이브러리에서 함수 가져오기, 재배치 등이 포함되어 있다. 


최종 페이로드는 추가로 압축 및 암호화되었다. 


공격에는 RAVENSHELL로 추적되는 TCP 리버스 쉘 도구도 사용되었다. 


이는 관리 서버와 TCP 연결을 설정하여, "cmd.exe"를 통해 호스트에서 실행할 명령을 수신한다. 


감염된 컴퓨터에는 AGINGFLY 악성코드와 SILENTLOOP PowerShell 스크립트도 함께 다운로드된다. 


해당 스크립트에서는 다음과 같은 여러 가지 기능이 포함되어 있다.

- 명령 실행

- 설정 자동 업데이트

- 텔레그램(Telegram) 채널에서 관리 서버의 현재 IP 주소를 가져오는 기능

- 명령 및 제어(C2) 주소를 확인하기 위한 대체 메커니즘을 사용하는 기능 등 


AGINGFLY는 C#으로 개발되어 있으며, 감염 시스템에 대한 원격 제어 기능을 제공한다.


WebSocket을 통해 C2 서버와 통신한다.


다음과 같은 기능을 수행한다.

- 명령 실행

- 키로깅

- 파일 다운로드

- 추가 페이로드 실행




[그림 1. UAC-0247 공격 흐름]



약 12건의 사건을 조사한 결과, 이러한 공격은 WhatsApp과 Chromium 기반 브라우저에서 정찰과 측면 이동을 수행한다.


또한 자격 증명과 기타 민감 데이터 탈취를 용이하게 하는 것으로 나타났다. 


데이터 탈취에는 다음과 같이 다양한 오픈소스 도구가 사용됐다.


(1) ChromElevator

- Chromium의 앱 연결 암호화(ABE) 보호 기능 우회

- 쿠키와 저장된 비밀번호 수집


(2) ZAPiXDESK

- WhatsApp 웹사이트의 로컬 데이터베이스를 해독하는 포렌식 추출 도구


(3) RustScan

- 네트워크 스캐너


(4) Ligolo-Ng

- 역방향 TCP/TLS 연결을 통해 터널을 설정하는 경량 유틸리티


(5) Chisel

- TCP/UDP를 통해 네트워크 트래픽을 터널링하는 도구


(6) XMRig

- 암호화폐 채굴 프로그램


해당 기관은 우크라이나 국방 관계자들도 이번 공격의 표적이 되었을 가능성이 있다고 밝혔다. 


이는 시그널(Signal)을 통해 배포된 악성 ZIP 압축 파일에 근거한 것이다.


해당 파일은 DLL 사이드 로딩 기법을 이용해 AGINGFLY 악성코드를 설치하도록 설계되었다. 


이러한 위협과 관련된 위험을 완화하고 표면을 최소하기 위한 보안 대응 방안도 제시됐다.

- LNK, HTA, JS 파일 실행 제한

- "mshta.exe", "powershell.exe", "wscript.exe"와 같은 정식 유틸리티 실행 제한 




출처

https://thehackernews.com/2026/04/uac-0247-targets-ukrainian-clinics-and.html

목록