>
연구(Insikt)

인포스틸러를 확산시키는 사이버 범죄 캠페인, 웹3 게임의 위험성 강조

게시일: 2024년 4월 11일
작성자: Insikt Group®

insikt-group-logo-updated-3-300x48.png

Insikt Group은 가짜 Web3 게임 이니셔티브를 사용하여 macOS 및 Windows 사용자의 정보를 훔치도록 설계된 멀웨어를 배포하는 대규모 러시아어 사이버 범죄 작전을 조사합니다. 블록체인 기술을 기반으로 하는 이러한 웹3.0 게임은 암호화폐 수익을 통해 금전적 이득을 얻을 수 있는 잠재력을 제공합니다.

속임수의 웹: 모조 웹의 부상3 게임 사기 및 멀웨어 감염

이 캠페인에는 합법적으로 보이도록 이름과 브랜드를 약간 수정한 모조 웹3.0 게임 프로젝트와 가짜 소셜 미디어 계정을 만들어 진위성을 강화하는 것이 포함됩니다. 이러한 프로젝트의 주요 웹 페이지에서는 다운로드가 제공되며, 일단 설치되면 운영 체제에 따라 Atomic macOS Stealer(AMOS), Stealc, Rhadamanthys 또는 RisePro와 같은 다양한 유형의 "infostealer" 멀웨어가 기기를 감염시킵니다.

사기성 웹3.0 게임 프로젝트 현황(출처: 레코디드 퓨처) 사기성 웹3.0 게임 프로젝트 현황(출처: 레코디드 퓨처)

이 캠페인은 웹3.0 게이머를 대상으로 하며, 수익을 추구하기 위해 사이버 위생에 소홀할 수 있다는 점을 악용합니다. 이는 다양한 멀웨어를 활용하여 사용자의 시스템을 손상시키는 심각한 크로스 플랫폼 위협입니다. 위협 행위자는 탄력적인 인프라를 준비하여 탐지 시 브랜드를 변경하거나 초점을 전환하여 빠르게 적응할 수 있습니다. 이 보고서는 지속적인 경계의 필요성을 강조하고 개인과 조직이 이러한 정교한 피싱 수법에 대한 포괄적인 방어 전략을 채택할 것을 권장합니다.

구체적인 조사 결과에 따르면 AMOS를 포함한 멀웨어 버전은 인텔과 Apple M1 Mac을 모두 감염시킬 수 있어 사용자들 사이에서 광범위한 취약점이 존재한다는 것을 알 수 있습니다. 주요 목표는 암호화폐 지갑 도난으로 보이며, 금융 보안에 심각한 위험을 초래할 수 있습니다. 엔드포인트 탐지 및 안티바이러스 소프트웨어와 같은 잠재적인 완화 조치에도 불구하고 이 캠페인의 기법은 여전히 효과적이기 때문에 보다 광범위한 방어 조치가 필요함을 시사합니다. HTML 코드 내의 아티팩트는 위협 행위자의 러시아 출신을 암시하지만, 정확한 위치는 아직 불확실합니다. 이 보고서는 확인되지 않은 출처의 다운로드를 방지하기 위한 인식과 교육의 필요성을 강조하며, 이러한 위협에 적절히 대응하지 않으면 합법적인 웹3.0 게임 프로젝트의 브랜드가 손상될 위험이 있음을 강조합니다.

전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.

부록 A — 침해 지표

도메인:
ai-zerolend[.]xyz
argongame[.]com
argongame[.]fun
argongame[.]network
argongame[.]xyz
astration[.]io
astrationgame[.]com
astrationgame[.]io
astrationplay[.]com
astrationplay[.]io
blastl2[.]net
코스믹웨이브[.]오르그
크립테리움[.]월드
crypteriumplay[.]com
crypteriumplay[.]io
crypteriumworld[.]io
dustfighter[.]io
dustfighter[.]space
dustfightergame[.]com
dustoperation[.]xyz
gameastration[.]com
playastration[.]com
playcrypterium[.]com
플레이 크립테리움[.]io
testload[.]pythonanywhere[.]com
vether-testers[.]org
vether[.]org
worldcrypterium[.]io


IP 주소:
5.42.64[.]83
5.42.65[.]55
5.42.65[.]102
5.42.65[.]106
5.42.65[.]107
5.42.66[.]22
5.42.67[.]1
31.31.196[.]178
31.31.196[.]161
82.115.223[.]26
89.105.201[.]132
144.76.184[.]11
193.163.7[.]160


파일 해시:
073d524d8fc005acc05162f2e8574688a076d7888ec180c0ff78cab09b92ce95
0d9877eefd26756e2ecee3d806d60cb72bcb33d880f06e2f0e12c7c85d963426
0ed67ebecabb5fd7c4d41e521054154dbda0712845cb6f1b5b403c9f4d71ed4a
434878a4416201b4f26d1414be9126ae562c9f5be3f65168e48c0e95560460ac
4841020c8bd06b08fde6e44cbe2e2ab33439e1c8368e936ec5b00dc0584f7260
5136a49a682ac8d7f1ce71b211de8688fce42ed57210af087a8e2dbc8a934062
56a11900f952776d17637e9186e3954739c0d9039bf7c0aa7605a00a61bd6543
63724fbab837988311a551d4d9540577f822e23c49864095f568324352c0d1fd
74ebbac956e519e16923abdc5ab8912098a4f64e38ddcb2eae23969f306afe5a
7d35dd19ee508c74c159e82f99c0483114e9b5b30f9bc2bd41c37b83cfbcd92d
8934aaeb65b6e6d253dfe72dea5d65856bd871e989d5d3a2a35edfe867bb4825
8d7df60dd146ade3cef2bfb252dfe81139f0a756c2b9611aaa6a972424f8af85
ac5c92fe6c51cfa742e475215b83b3e11a4379820043263bf50d4068686c6fa5
b2e2859dd87628d046ac9da224b435d09dd856d9ad3ede926aa5e1dc9903ffe8
ba06a6ee0b15f5be5c4e67782eec8b521e36c107a329093ec400fe0404eb196a
c299089aca754950f7427e6946a980cedfded633ab3d55ca0aa5313bb2cc316c
ccd6375cd513412c28a4e8d0fdedf6603f49a4ac5cd34ddd53cc72f08209bd83
e1657101815c73d9efd1a35567e6da0e1b00f176ac7d5a8d3f88b06a5602c320
ea592d5ca0350a3e46e3de9c6add352cd923206d1dcc45244e7a0a3c049462a4
edd043f2005dbd5902fc421eabb9472a7266950c5cbaca34e2d590b17d12f5fa
f5e3f5d769efc49879b640334d6919bdb5ba7cae403317c8bd79d042803e20ce
f6893fba30db87c2415a1e44b1f03e5e57ac14f9dbd2c3b0c733692472f099fd
fabfe1bcce7eade07a30ff7d073859e2a8654c41da1f784d3b58da40aaeef682


부록 B — Mitre ATT&CK 기법

전술: 기법 ATT&CK 코드
데이터 난독화 T1001
로컬 시스템의 데이터 T1005
쿼리 레지스트리 T1012
난독화된 파일 또는 정보 T1027
C2 채널을 통한 유출 T1041
예약된 작업/작업 T1053
프로세스 검색 T1057
명령 및 스크립팅 인터프리터 T1059
애플리케이션 계층 프로토콜 T1071
시스템 정보 검색 T1082
레지스트리 수정 T1112
데이터 인코딩: 표준 인코딩 T1132.001
간접 명령 실행 T1202
사용자 실행 T1204
사용자 실행: 악성 링크 T1204.001
사용자 실행: 악성 파일 T1204.002
가상화/샌드박스 회피 T1497
웹 세션 쿠키 도용 T1539
보안되지 않은 자격증명 T1552
보안되지 않은 자격증명: 파일에 있는 자격증명 T1552.001
도구 비활성화 또는 수정 T1562.001
피싱(Phishing) T1566
인프라 확보: 도메인 T1583.001
인프라 확보: 웹 서비스 T1583.006
인프라 확보: 멀버타이징 T1583.008
계정 만들기: 소셜 미디어 계정 T1585.001
역량 개발 T1587
피해자 신원 정보 수집: 자격 증명 T1589.001
피해자 호스트 정보를 수집합니다: 소프트웨어 T1592.002
금융 도난 T1657



부록 C - 도메인과 IP 상관관계

도메인 생성됨 IP 주소 서버 활성
astration[.]io 2023-10-31 5.42.66[.]22 nginx/1.22.0 아니요
astrationplay[.]io 2024-01-20 5.42.66[.]22 Golfe2 아니요
astrationplay[.]com 2024-01-21 5.42.66[.]22 Golfe2 아니요
astrationgame[.]com 2024-02-07 5.42.66[.]22 nginx/1.22.0 아니요
astrationgame[.]io 2024-02-07 5.42.66[.]22 nginx/1.22.0 아니요
playastration[.]com 2024-02-08 5.42.66[.]22 nginx/1.22.0 아니요
gameastration[.]com 2024-02-12 5.42.66[.]22 nginx/1.22.0
dustfighter[.]io 2024-01-31 5.42.65[.]102 nginx/1.22.0
dustfighter[.]space 2024-02-22 5.42.65[.]102 N/A 아니요
dustfightergame[.]com 2024-02-26 Cloudflare 제공 Cloudflare 제공
dustoperation[.]xyz 2024-02-25 31.31.196[.]178 nginx
ai-zerolend[.]xyz 2024-02-23 31.31.196[.]161 N/A 아니요
코스믹웨이브[.]오르그 2023-10-27 Cloudflare 제공 Cloudflare 제공
argongame[.]com 2023-12-16 Cloudflare 제공 Cloudflare 제공
argongame[.]network 2024-02-04 Cloudflare 제공 Cloudflare 제공
argongame[.]fun 2024-02-04 Cloudflare 제공 Cloudflare 제공 아니요
argongame[.]xyz 2024-02-04 Cloudflare 제공 Cloudflare 제공
crypteriumplay[.]com 2023-09-09 5.42.67[.]1 nginx/1.22.0 아니요
playcrypterium[.]com 2023-09-19 5.42.67[.]1 nginx/1.22.0 아니요
플레이 크립테리움[.]io 2023-10-11 5.42.67[.]1 nginx/1.22.0 아니요
worldcrypterium[.]io 2023-09-06 5.42.67[.]1 nginx/1.22.0 아니요
크립테리움[.]월드 2023-08-03 Cloudflare 제공 Cloudflare 제공 아니요
crypteriumworld[.]io 2023-08-28 5.42.64[.]83 nginx/1.22.0 아니요
crypteriumplay[.]io 2023-10-25 5.42.65[.]102 AliyunOSS 아니요
vether[.]org 2023-11-30 Cloudflare 제공 Cloudflare 제공
vether-testers[.]org 2024-01-30 82.115.223[.]26 nginx/1.20.2

관련