인포스틸러를 확산시키는 사이버 범죄 캠페인, 웹3 게임의 위험성 강조
Insikt Group은 사기성 Web3 게임 프로젝트를 활용하여 여러 변종 정보 탈취자("인포스틸러") 멀웨어를 macOS와 Windows 장치에 배포하는 러시아어 기반의 광범위한 사이버 범죄 캠페인을 발견했습니다. Web3 게임은 블록체인 기술을 기반으로 구축된 온라인 게임을 의미하며, 플레이어는 다양한 암호화폐를 획득하여 금전적 이득을 얻을 수 있습니다. 사기성 Web3 프로젝트는 프로젝트 이름과 브랜딩을 약간 변경하여 합법적인 프로젝트를 모방합니다. 이러한 사기성 브랜딩에는 합법적인 프로젝트를 사칭하는 여러 소셜 미디어 계정도 포함되어 있어 진짜처럼 보일 수 있습니다.
이 캠페인의 표적 성격을 보면 위협 행위자들은 Web3 게이머가 사이버 위생을 절충하기 때문에 소셜 엔지니어링에 더 취약하다고 간주하는 것으로 보입니다. 즉 Web3 게이머는 수익 추구 과정에서 사이버 범죄에 대한 보호 조치를 제대로 수행하지 않는 경향이 있다는 것입니다. 캠페인 배후의 위협 행위자들은 중복성과 연속성을 가능하게 하는 인프라를 구축하고 있으며, 캠페인의 민첩한 특성 때문에 회복력이 있어서 위협 행위자가 식별되면 비교적 쉽게 종료하거나 브랜드를 변경할 수 있습니다. 이 캠페인에서 배포한 AMOS 버전은 Intel 기반과 ARM 기반(Apple M1) Mac 모두를 감염시킬 수 있는 것으로 관찰되었습니다. 즉, 어떤 칩셋을 사용하는 피해자든 인포스틸러에 취약할 수 있습니다. Web3 게임 프로젝트의 대상을 고려할 때, 위협 행위자가 주로 암호화폐 지갑을 가진 피해자를 노린다는 것은 거의 확실합니다. 총 비용으로 측정했을 때 지갑 유출은 Web3와 암호화폐 보안 모두에서 가장 큰 위협이므로 지갑 유출이 이 캠페인의 최종 목표일 가능성이 높지만, 자격 증명이 탈취되면 다양한 무단 계정 액세스에 사용될 수 있습니다.
엔드포인트 탐지 및 대응(EDR) 또는 안티바이러스(AV) 제품에만 의존해 방어한다면 캠페인의 전술, 기술 및 절차(TTP)는 계속 효과를 발휘할 수 있으므로, 표적이 된 개인과 조직은 포괄적인 방어 전략으로 캠페인의 크로스 플랫폼 위협에 대응해야 합니다. 이러한 프로젝트의 HTML 코드에 러시아어 아티팩트 가 존재하므로 위협 행위자가 러시아어 사용자일 가능성이 높습니다. 정확한 위치를 파악할 수는 없지만, 이러한 아티팩트가 존재한다는 것은 위협 행위자가 러시아 또는 독립국가연합(CIS) 내 국가에 있을 수 있음을 시사합니다.
이 캠페인을 지속적으로 모니터링하는 것은 불가능할 수 있으므로 개인과 조직은 더 광범위한 공격 벡터 자체에 대비해 방어해야 합니다. 이 캠페인은 '트랩 피싱' 소프트웨어 다운로드를 통해 확산되므로, 잠재적 피해자가 확인되지 않은 비공식 출처에서 소프트웨어를 다운로드하지 않도록 포괄적인 인식 제고 및 사용자 교육 캠페인이 필요합니다. 추가 권장 사항은 이 보고서의 완화 조치 섹션에서 확인할 수 있습니다.
Web3 게임이나 인접 산업(예: 광범위한 게임 산업이나 암호화폐 거래소 등) 에서 활동하는 조직의 프로젝트가 이 캠페인의 일부로 사칭될 위험이 있으며, 이를 개선하지 않으면 심각한 브랜드 훼손으로 이어질 수 있습니다. 브랜드 훼손으로 인한 재정적 손실을 파악하기는 어렵지만, 이와 같은 캠페인에 대처하지 않을 경우 영향을 받은 Web3 프로젝트는 전체 사용자 기반 및 더 넓은 Web3 게임 산업에서 평판을 잃을 위험이 있습니다. 이 캠페인의 민첩한 특성을 고려할 때, 위협 행위자들은 앞으로도 인포스틸러를 통해 Web3 게임 프로젝트를 표적으로 삼을 가능성이 높을 것으로 평가됩니다.
속임수의 웹: 모조 웹의 부상3 게임 사기 및 멀웨어 감염
이 캠페인에는 합법적으로 보이도록 이름과 브랜드를 약간 수정한 모조 웹3.0 게임 프로젝트와 가짜 소셜 미디어 계정을 만들어 진위성을 강화하는 것이 포함됩니다. 이러한 프로젝트의 주요 웹 페이지에서는 다운로드가 제공되며, 일단 설치되면 운영 체제에 따라 Atomic macOS Stealer(AMOS), Stealc, Rhadamanthys 또는 RisePro와 같은 다양한 유형의 "infostealer" 멀웨어가 기기를 감염시킵니다.
사기성 웹3.0 게임 프로젝트 현황(출처: 레코디드 퓨처)
이 캠페인은 Web3 게이머를 표적으로 하며, 수익을 추구하기 위해 사이버 위생에 소홀할 수 있다는 점을 악용합니다. 이는 다양한 멀웨어를 활용하여 사용자의 시스템을 손상시키는 심각한 크로스 플랫폼 위협입니다. 위협 행위자들 은 탐지 시 브랜드를 변경하거나 초점을 옮겨 빠르게 적응할 수 있는 회복력 있는 인프라를 마련했습니다. 이 보고서는 지속적인 경계의 필요성을 강조하고 개인과 조직이 이러한 정교한 피싱 전술에 대해 포괄적인 완화 전략을 도입할 것을 권장합니다.
구체적인 조사 결과에 따르면 AMOS를 포함한 멀웨어 버전은 Intel과 Apple M1 Mac을 모두 감염시킬 수 있어 사용자들 간에 광범위한 취약점이 있습니다. 주요 목표는 암호화폐 지갑을 도용하는 것으로 보이며, 이는 금융 보안에 심각한 위험을 초래합니다. 엔드포인트 탐지 및 안티바이러스 소프트웨어와 같은 잠재적인 완화 조치에도 불구하고 이 캠페인의 기법은 여전히 효과적이기 때문에 보다 광범위한 방어 조치가 필요합니다. HTML 코드 내의 아티팩트는 위협 행위자가 러시아 출신임을 암시하지만, 정확한 위치는 아직 불확실합니다. 이 보고서는 확인되지 않은 출처의 다운로드를 방지하기 위한 인식 제고와 교육의 필요성을 강조하며, 이러한 위협에 적절히 대응하지 않으면 합법적인 Web3 게임 프로젝트의 브랜드가 손상될 위험이 있음을 강조합니다.
전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.
참고: 이 보고서 요약은 2024년 4월 11일에 처음 발행되었으며 2024년 10월 29일에 업데이트되었습니다. 초기 분석 및 결과는 변경되지 않았습니다.
부록 A — 침해 지표
|
도메인: ai-zerolend[.]xyz argongame[.]com argongame[.]fun argongame[.]network argongame[.]xyz astration[.]io astrationgame[.]com astrationgame[.]io astrationplay[.]com astrationplay[.]io blastl2[.]net 코스믹웨이브[.]오르그 크립테리움[.]월드 crypteriumplay[.]com crypteriumplay[.]io crypteriumworld[.]io dustfighter[.]io dustfighter[.]space dustfightergame[.]com dustoperation[.]xyz gameastration[.]com playastration[.]com playcrypterium[.]com 플레이 크립테리움[.]io testload[.]pythonanywhere[.]com vether-testers[.]org vether[.]org worldcrypterium[.]io IP 주소: 5.42.64[.]83 5.42.65[.]55 5.42.65[.]102 5.42.65[.]106 5.42.65[.]107 5.42.66[.]22 5.42.67[.]1 31.31.196[.]178 31.31.196[.]161 82.115.223[.]26 89.105.201[.]132 144.76.184[.]11 193.163.7[.]160 파일 해시: 073d524d8fc005acc05162f2e8574688a076d7888ec180c0ff78cab09b92ce95 0d9877eefd26756e2ecee3d806d60cb72bcb33d880f06e2f0e12c7c85d963426 0ed67ebecabb5fd7c4d41e521054154dbda0712845cb6f1b5b403c9f4d71ed4a 434878a4416201b4f26d1414be9126ae562c9f5be3f65168e48c0e95560460ac 4841020c8bd06b08fde6e44cbe2e2ab33439e1c8368e936ec5b00dc0584f7260 5136a49a682ac8d7f1ce71b211de8688fce42ed57210af087a8e2dbc8a934062 56a11900f952776d17637e9186e3954739c0d9039bf7c0aa7605a00a61bd6543 63724fbab837988311a551d4d9540577f822e23c49864095f568324352c0d1fd 74ebbac956e519e16923abdc5ab8912098a4f64e38ddcb2eae23969f306afe5a 7d35dd19ee508c74c159e82f99c0483114e9b5b30f9bc2bd41c37b83cfbcd92d 8934aaeb65b6e6d253dfe72dea5d65856bd871e989d5d3a2a35edfe867bb4825 8d7df60dd146ade3cef2bfb252dfe81139f0a756c2b9611aaa6a972424f8af85 ac5c92fe6c51cfa742e475215b83b3e11a4379820043263bf50d4068686c6fa5 b2e2859dd87628d046ac9da224b435d09dd856d9ad3ede926aa5e1dc9903ffe8 ba06a6ee0b15f5be5c4e67782eec8b521e36c107a329093ec400fe0404eb196a c299089aca754950f7427e6946a980cedfded633ab3d55ca0aa5313bb2cc316c ccd6375cd513412c28a4e8d0fdedf6603f49a4ac5cd34ddd53cc72f08209bd83 e1657101815c73d9efd1a35567e6da0e1b00f176ac7d5a8d3f88b06a5602c320 ea592d5ca0350a3e46e3de9c6add352cd923206d1dcc45244e7a0a3c049462a4 edd043f2005dbd5902fc421eabb9472a7266950c5cbaca34e2d590b17d12f5fa f5e3f5d769efc49879b640334d6919bdb5ba7cae403317c8bd79d042803e20ce f6893fba30db87c2415a1e44b1f03e5e57ac14f9dbd2c3b0c733692472f099fd fabfe1bcce7eade07a30ff7d073859e2a8654c41da1f784d3b58da40aaeef682 |
부록 B — Mitre ATT&CK 기법
| 전술: 기법 | ATT&CK 코드 |
| 데이터 난독화 | T1001 |
| 로컬 시스템의 데이터 | T1005 |
| 쿼리 레지스트리 | T1012 |
| 난독화된 파일 또는 정보 | T1027 |
| C2 채널을 통한 유출 | T1041 |
| 예약된 작업/작업 | T1053 |
| 프로세스 검색 | T1057 |
| 명령 및 스크립팅 인터프리터 | T1059 |
| 애플리케이션 계층 프로토콜 | T1071 |
| 시스템 정보 검색 | T1082 |
| 레지스트리 수정 | T1112 |
| 데이터 인코딩: 표준 인코딩 | T1132.001 |
| 간접 명령 실행 | T1202 |
| 사용자 실행 | T1204 |
| 사용자 실행: 악성 링크 | T1204.001 |
| 사용자 실행: 악성 파일 | T1204.002 |
| 가상화/샌드박스 회피 | T1497 |
| 웹 세션 쿠키 도용 | T1539 |
| 보안되지 않은 자격증명 | T1552 |
| 보안되지 않은 자격증명: 파일에 있는 자격증명 | T1552.001 |
| 도구 비활성화 또는 수정 | T1562.001 |
| 피싱(Phishing) | T1566 |
| 인프라 확보: 도메인 | T1583.001 |
| 인프라 확보: 웹 서비스 | T1583.006 |
| 인프라 확보: 멀버타이징 | T1583.008 |
| 계정 만들기: 소셜 미디어 계정 | T1585.001 |
| 역량 개발 | T1587 |
| 피해자 신원 정보 수집: 자격 증명 | T1589.001 |
| 피해자 호스트 정보를 수집합니다: 소프트웨어 | T1592.002 |
| 금융 도난 | T1657 |
부록 C - 도메인과 IP 상관관계
| 도메인 | 생성됨 | IP 주소 | 서버 | 활성 |
| astration[.]io | 2023-10-31 | 5.42.66[.]22 | nginx/1.22.0 | 아니요 |
| astrationplay[.]io | 2024-01-20 | 5.42.66[.]22 | Golfe2 | 아니요 |
| astrationplay[.]com | 2024-01-21 | 5.42.66[.]22 | Golfe2 | 아니요 |
| astrationgame[.]com | 2024-02-07 | 5.42.66[.]22 | nginx/1.22.0 | 아니요 |
| astrationgame[.]io | 2024-02-07 | 5.42.66[.]22 | nginx/1.22.0 | 아니요 |
| playastration[.]com | 2024-02-08 | 5.42.66[.]22 | nginx/1.22.0 | 아니요 |
| gameastration[.]com | 2024-02-12 | 5.42.66[.]22 | nginx/1.22.0 | 예 |
| dustfighter[.]io | 2024-01-31 | 5.42.65[.]102 | nginx/1.22.0 | 예 |
| dustfighter[.]space | 2024-02-22 | 5.42.65[.]102 | N/A | 아니요 |
| dustfightergame[.]com | 2024-02-26 | Cloudflare 제공 | Cloudflare 제공 | 예 |
| dustoperation[.]xyz | 2024-02-25 | 31.31.196[.]178 | nginx | 예 |
| ai-zerolend[.]xyz | 2024-02-23 | 31.31.196[.]161 | N/A | 아니요 |
| 코스믹웨이브[.]오르그 | 2023-10-27 | Cloudflare 제공 | Cloudflare 제공 | 예 |
| argongame[.]com | 2023-12-16 | Cloudflare 제공 | Cloudflare 제공 | 예 |
| argongame[.]network | 2024-02-04 | Cloudflare 제공 | Cloudflare 제공 | 예 |
| argongame[.]fun | 2024-02-04 | Cloudflare 제공 | Cloudflare 제공 | 아니요 |
| argongame[.]xyz | 2024-02-04 | Cloudflare 제공 | Cloudflare 제공 | 예 |
| crypteriumplay[.]com | 2023-09-09 | 5.42.67[.]1 | nginx/1.22.0 | 아니요 |
| playcrypterium[.]com | 2023-09-19 | 5.42.67[.]1 | nginx/1.22.0 | 아니요 |
| 플레이 크립테리움[.]io | 2023-10-11 | 5.42.67[.]1 | nginx/1.22.0 | 아니요 |
| worldcrypterium[.]io | 2023-09-06 | 5.42.67[.]1 | nginx/1.22.0 | 아니요 |
| 크립테리움[.]월드 | 2023-08-03 | Cloudflare 제공 | Cloudflare 제공 | 아니요 |
| crypteriumworld[.]io | 2023-08-28 | 5.42.64[.]83 | nginx/1.22.0 | 아니요 |
| crypteriumplay[.]io | 2023-10-25 | 5.42.65[.]102 | AliyunOSS | 아니요 |
| vether[.]org | 2023-11-30 | Cloudflare 제공 | Cloudflare 제공 | 예 |
| vether-testers[.]org | 2024-01-30 | 82.115.223[.]26 | nginx/1.20.2 | 예 |
관련