인포스틸러를 확산시키는 사이버 범죄 캠페인, 웹3 게임의 위험성 강조
Insikt Group은 가짜 Web3 게임 이니셔티브를 사용하여 macOS 및 Windows 사용자의 정보를 훔치도록 설계된 멀웨어를 배포하는 대규모 러시아어 사이버 범죄 작전을 조사합니다. 블록체인 기술을 기반으로 하는 이러한 웹3.0 게임은 암호화폐 수익을 통해 금전적 이득을 얻을 수 있는 잠재력을 제공합니다.
속임수의 웹: 모조 웹의 부상3 게임 사기 및 멀웨어 감염
이 캠페인에는 합법적으로 보이도록 이름과 브랜드를 약간 수정한 모조 웹3.0 게임 프로젝트와 가짜 소셜 미디어 계정을 만들어 진위성을 강화하는 것이 포함됩니다. 이러한 프로젝트의 주요 웹 페이지에서는 다운로드가 제공되며, 일단 설치되면 운영 체제에 따라 Atomic macOS Stealer(AMOS), Stealc, Rhadamanthys 또는 RisePro와 같은 다양한 유형의 "infostealer" 멀웨어가 기기를 감염시킵니다.
사기성 웹3.0 게임 프로젝트 현황(출처: 레코디드 퓨처)
이 캠페인은 웹3.0 게이머를 대상으로 하며, 수익을 추구하기 위해 사이버 위생에 소홀할 수 있다는 점을 악용합니다. 이는 다양한 멀웨어를 활용하여 사용자의 시스템을 손상시키는 심각한 크로스 플랫폼 위협입니다. 위협 행위자는 탄력적인 인프라를 준비하여 탐지 시 브랜드를 변경하거나 초점을 전환하여 빠르게 적응할 수 있습니다. 이 보고서는 지속적인 경계의 필요성을 강조하고 개인과 조직이 이러한 정교한 피싱 수법에 대한 포괄적인 방어 전략을 채택할 것을 권장합니다.
구체적인 조사 결과에 따르면 AMOS를 포함한 멀웨어 버전은 인텔과 Apple M1 Mac을 모두 감염시킬 수 있어 사용자들 사이에서 광범위한 취약점이 존재한다는 것을 알 수 있습니다. 주요 목표는 암호화폐 지갑 도난으로 보이며, 금융 보안에 심각한 위험을 초래할 수 있습니다. 엔드포인트 탐지 및 안티바이러스 소프트웨어와 같은 잠재적인 완화 조치에도 불구하고 이 캠페인의 기법은 여전히 효과적이기 때문에 보다 광범위한 방어 조치가 필요함을 시사합니다. HTML 코드 내의 아티팩트는 위협 행위자의 러시아 출신을 암시하지만, 정확한 위치는 아직 불확실합니다. 이 보고서는 확인되지 않은 출처의 다운로드를 방지하기 위한 인식과 교육의 필요성을 강조하며, 이러한 위협에 적절히 대응하지 않으면 합법적인 웹3.0 게임 프로젝트의 브랜드가 손상될 위험이 있음을 강조합니다.
전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.
부록 A — 침해 지표
도메인: ai-zerolend[.]xyz argongame[.]com argongame[.]fun argongame[.]network argongame[.]xyz astration[.]io astrationgame[.]com astrationgame[.]io astrationplay[.]com astrationplay[.]io blastl2[.]net 코스믹웨이브[.]오르그 크립테리움[.]월드 crypteriumplay[.]com crypteriumplay[.]io crypteriumworld[.]io dustfighter[.]io dustfighter[.]space dustfightergame[.]com dustoperation[.]xyz gameastration[.]com playastration[.]com playcrypterium[.]com 플레이 크립테리움[.]io testload[.]pythonanywhere[.]com vether-testers[.]org vether[.]org worldcrypterium[.]io IP 주소: 5.42.64[.]83 5.42.65[.]55 5.42.65[.]102 5.42.65[.]106 5.42.65[.]107 5.42.66[.]22 5.42.67[.]1 31.31.196[.]178 31.31.196[.]161 82.115.223[.]26 89.105.201[.]132 144.76.184[.]11 193.163.7[.]160 파일 해시: 073d524d8fc005acc05162f2e8574688a076d7888ec180c0ff78cab09b92ce95 0d9877eefd26756e2ecee3d806d60cb72bcb33d880f06e2f0e12c7c85d963426 0ed67ebecabb5fd7c4d41e521054154dbda0712845cb6f1b5b403c9f4d71ed4a 434878a4416201b4f26d1414be9126ae562c9f5be3f65168e48c0e95560460ac 4841020c8bd06b08fde6e44cbe2e2ab33439e1c8368e936ec5b00dc0584f7260 5136a49a682ac8d7f1ce71b211de8688fce42ed57210af087a8e2dbc8a934062 56a11900f952776d17637e9186e3954739c0d9039bf7c0aa7605a00a61bd6543 63724fbab837988311a551d4d9540577f822e23c49864095f568324352c0d1fd 74ebbac956e519e16923abdc5ab8912098a4f64e38ddcb2eae23969f306afe5a 7d35dd19ee508c74c159e82f99c0483114e9b5b30f9bc2bd41c37b83cfbcd92d 8934aaeb65b6e6d253dfe72dea5d65856bd871e989d5d3a2a35edfe867bb4825 8d7df60dd146ade3cef2bfb252dfe81139f0a756c2b9611aaa6a972424f8af85 ac5c92fe6c51cfa742e475215b83b3e11a4379820043263bf50d4068686c6fa5 b2e2859dd87628d046ac9da224b435d09dd856d9ad3ede926aa5e1dc9903ffe8 ba06a6ee0b15f5be5c4e67782eec8b521e36c107a329093ec400fe0404eb196a c299089aca754950f7427e6946a980cedfded633ab3d55ca0aa5313bb2cc316c ccd6375cd513412c28a4e8d0fdedf6603f49a4ac5cd34ddd53cc72f08209bd83 e1657101815c73d9efd1a35567e6da0e1b00f176ac7d5a8d3f88b06a5602c320 ea592d5ca0350a3e46e3de9c6add352cd923206d1dcc45244e7a0a3c049462a4 edd043f2005dbd5902fc421eabb9472a7266950c5cbaca34e2d590b17d12f5fa f5e3f5d769efc49879b640334d6919bdb5ba7cae403317c8bd79d042803e20ce f6893fba30db87c2415a1e44b1f03e5e57ac14f9dbd2c3b0c733692472f099fd fabfe1bcce7eade07a30ff7d073859e2a8654c41da1f784d3b58da40aaeef682 |
부록 B — Mitre ATT&CK 기법
전술: 기법 | ATT&CK 코드 |
데이터 난독화 | T1001 |
로컬 시스템의 데이터 | T1005 |
쿼리 레지스트리 | T1012 |
난독화된 파일 또는 정보 | T1027 |
C2 채널을 통한 유출 | T1041 |
예약된 작업/작업 | T1053 |
프로세스 검색 | T1057 |
명령 및 스크립팅 인터프리터 | T1059 |
애플리케이션 계층 프로토콜 | T1071 |
시스템 정보 검색 | T1082 |
레지스트리 수정 | T1112 |
데이터 인코딩: 표준 인코딩 | T1132.001 |
간접 명령 실행 | T1202 |
사용자 실행 | T1204 |
사용자 실행: 악성 링크 | T1204.001 |
사용자 실행: 악성 파일 | T1204.002 |
가상화/샌드박스 회피 | T1497 |
웹 세션 쿠키 도용 | T1539 |
보안되지 않은 자격증명 | T1552 |
보안되지 않은 자격증명: 파일에 있는 자격증명 | T1552.001 |
도구 비활성화 또는 수정 | T1562.001 |
피싱(Phishing) | T1566 |
인프라 확보: 도메인 | T1583.001 |
인프라 확보: 웹 서비스 | T1583.006 |
인프라 확보: 멀버타이징 | T1583.008 |
계정 만들기: 소셜 미디어 계정 | T1585.001 |
역량 개발 | T1587 |
피해자 신원 정보 수집: 자격 증명 | T1589.001 |
피해자 호스트 정보를 수집합니다: 소프트웨어 | T1592.002 |
금융 도난 | T1657 |
부록 C - 도메인과 IP 상관관계
도메인 | 생성됨 | IP 주소 | 서버 | 활성 |
astration[.]io | 2023-10-31 | 5.42.66[.]22 | nginx/1.22.0 | 아니요 |
astrationplay[.]io | 2024-01-20 | 5.42.66[.]22 | Golfe2 | 아니요 |
astrationplay[.]com | 2024-01-21 | 5.42.66[.]22 | Golfe2 | 아니요 |
astrationgame[.]com | 2024-02-07 | 5.42.66[.]22 | nginx/1.22.0 | 아니요 |
astrationgame[.]io | 2024-02-07 | 5.42.66[.]22 | nginx/1.22.0 | 아니요 |
playastration[.]com | 2024-02-08 | 5.42.66[.]22 | nginx/1.22.0 | 아니요 |
gameastration[.]com | 2024-02-12 | 5.42.66[.]22 | nginx/1.22.0 | 예 |
dustfighter[.]io | 2024-01-31 | 5.42.65[.]102 | nginx/1.22.0 | 예 |
dustfighter[.]space | 2024-02-22 | 5.42.65[.]102 | N/A | 아니요 |
dustfightergame[.]com | 2024-02-26 | Cloudflare 제공 | Cloudflare 제공 | 예 |
dustoperation[.]xyz | 2024-02-25 | 31.31.196[.]178 | nginx | 예 |
ai-zerolend[.]xyz | 2024-02-23 | 31.31.196[.]161 | N/A | 아니요 |
코스믹웨이브[.]오르그 | 2023-10-27 | Cloudflare 제공 | Cloudflare 제공 | 예 |
argongame[.]com | 2023-12-16 | Cloudflare 제공 | Cloudflare 제공 | 예 |
argongame[.]network | 2024-02-04 | Cloudflare 제공 | Cloudflare 제공 | 예 |
argongame[.]fun | 2024-02-04 | Cloudflare 제공 | Cloudflare 제공 | 아니요 |
argongame[.]xyz | 2024-02-04 | Cloudflare 제공 | Cloudflare 제공 | 예 |
crypteriumplay[.]com | 2023-09-09 | 5.42.67[.]1 | nginx/1.22.0 | 아니요 |
playcrypterium[.]com | 2023-09-19 | 5.42.67[.]1 | nginx/1.22.0 | 아니요 |
플레이 크립테리움[.]io | 2023-10-11 | 5.42.67[.]1 | nginx/1.22.0 | 아니요 |
worldcrypterium[.]io | 2023-09-06 | 5.42.67[.]1 | nginx/1.22.0 | 아니요 |
크립테리움[.]월드 | 2023-08-03 | Cloudflare 제공 | Cloudflare 제공 | 아니요 |
crypteriumworld[.]io | 2023-08-28 | 5.42.64[.]83 | nginx/1.22.0 | 아니요 |
crypteriumplay[.]io | 2023-10-25 | 5.42.65[.]102 | AliyunOSS | 아니요 |
vether[.]org | 2023-11-30 | Cloudflare 제공 | Cloudflare 제공 | 예 |
vether-testers[.]org | 2024-01-30 | 82.115.223[.]26 | nginx/1.20.2 | 예 |
관련