커튼 뒤에서: Lumma 계열사 운영 방식
Executive Summary
Insikt Group 는 상호 연결된 방대한 정보 도용 생태계 내에서 운영되는 여러 Lumma 계열사에 대한 최초의 분석을 제공합니다. 루마 인포스틸러는 2022년부터 사용되어 왔으며 프록시 네트워크, 가상 사설망(VPN), 다중 계정 관리를 위한 탐지 방지 브라우저, 익스플로잇 및 암호화 서비스, 은밀성과 연속성을 보장하도록 설계된 탐지 회피 도구 등 다양한 운영 인에이블러를 통해 에코시스템이 지원되고 있습니다. 이번 조사를 통해 이전에 문서화되지 않은 도구가 발견되었으며, Lumma 계열사가 여러 개의 사기 수법을 동시에 운영하는 경우가 많다는 사실이 밝혀졌습니다. 예를 들어, 한 계열사는 대여 사기를 운영하는 것으로 확인된 반면, 다른 계열사는 운영 민첩성을 강화하고 성공률을 개선하며 탐지 및 법 집행 기관의 단속과 관련된 위험을 완화하기 위해 Vidar, Stealc, Meduza Stealer 등 여러 서비스형 멀웨어(MaaS) 플랫폼을 동시에 활용하고 있었습니다. 또한 여러 Lumma 계열사는 언더그라운드 포럼에서 뚜렷한 위협 행위자 페르소나와 연결되어 있어 광범위한 사이버 범죄 생태계 내에서 긴밀한 통합을 강화합니다.
단기적으로 방어자는 보안 모범 사례를 준수하여 유출 이벤트를 모니터링하고, 현재 및 과거 감염을 모두 발견하기 위해 YARA, 시그마, 스노트 규칙과 같은 탐지 기능을 배포하고, 웹사이트에서 다운로드를 제한하고, 허용 목록을 사용하는 등 보안 모범 사례를 준수해야 합니다. 조직은 직원들이 불법 다운로드, 멀버타이징과 관련된 리디렉션, ClickFix 공격과 같이 점점 더 흔해지는 기법의 징후를 인식할 수 있도록 교육해야 합니다. 또한, 방어자는 다크 웹과 지하 포럼에서 유출된 인증정보와 멀웨어 로그를 모니터링해야 합니다. 방어자는 장기적으로 사이버 범죄 생태계를 지속적으로 관찰하여 새로운 위협을 예측하고 그에 따라 보안 정책과 관행을 조정해야 합니다.
앞으로의 전망( Insikt Group )에 따르면, MaaS Lumma와 그 제휴 네트워크는 기술적 정교함, 새로운 기술의 신속한 채택, 주요 법 집행 기관의 단속 후 며칠 내에 인프라를 재구축하는 능력으로 입증된 복원력으로 인해 오랫동안 사이버 범죄 생태계의 선두주자로 활동할 것으로 예상합니다. 이러한 운영이 Lumma의 MaaS 제휴 네트워크에 미치는 장기적인 영향은 아직 불확실하지만, 제휴사가 플랫폼을 포기하거나 실행 가능한 대안이 등장했다는 징후는 아직 나타나지 않고 있습니다. 궁극적으로 Lumma와 그 계열사들은 현대의 사이버 범죄 조직이 어떻게 탈중앙화된 네트워크로 운영되는지, 효과적인 방해에도 단기간의 차질만 초래하는지를 잘 보여줍니다. 지속적인 완화를 달성하려면 지속적인 법 집행 기관의 압박과 개별 계열사의 진화하는 수법을 모니터링하고 대응하기 위한 집중적인 정보 노력이 필요합니다.
주요 연구 결과
- Insikt Group 지하 포럼에서 유포된 크랙 이메일 자격 증명 검증 도구와 여러 포럼에서 활동하는 다른 행위자와 연결된 피싱 페이지 생성기 등 이전에 보고되지 않은 루마 계열사가 사용하는 도구를 발견했습니다.
- 루마 계열사들은 렌탈 사기에 도난 로그를 사용하는 등 루마를 사용하여 여러 사기를 동시에 실행하는 것이 관찰되었습니다. 또한, 몇몇 계열사는 성공률을 극대화하고 탐지 또는 법 집행 조치로 인한 혼란을 완화하기 위해 Vidar, Stealc, Meduza Stealer 등 여러 인포스틸러를 동시에 사용하는 것으로 나타났습니다.
- Lumma 계열사는 필수 운영 허브로서 지하 및 전문 카딩 포럼에 크게 의존하고 있습니다. 이들은 이러한 플랫폼을 활용하여 협력자를 모집하고, 암호화 서비스 및 개인정보 보호 강화 서비스와 같은 중요한 리소스를 확보하며, 내장된 블랙 마켓, 사기 도구 및 커뮤니티 지원 네트워크를 통해 도난당한 인증정보, 금융 데이터 및 인포스틸러 로그를 효율적으로 수익화합니다.
배경
Recorded Future의 악성 인프라 분석에 따르면 2024년에 가장 널리 퍼진 인포스틸러는 LummaC2라고도 불리는 Lumma로, 2025년 5월 법 집행 기관의 조치를 받았음에도 불구하고 개인, 조직, 정부로부터 데이터를 적극적으로 유출하며 계속해서 심각한 위협을 가하고 있습니다. Lumma와 같은 인포스틸러는 이제 사이버 보안 환경에서 잘 알려진 위협이지만, 여전히 많은 의문이 남아 있습니다: 인포스틸러의 하루는 어떤 모습일까요? 이들은 어떻게 운영되고, 누구이며, 어떤 다른 활동에 관여하고, 어디에 기반을 두고 있으며, 탈취한 로그는 궁극적으로 어떻게 사용되나요?
지난 12개월(2024년 하반기부터 2025년 상반기까지) 동안 Insikt Group 에서는 여러 국가에서 운영되는 광범위한 Lumma 계열사 네트워크에 대한 종합적인 조사를 실시했습니다. 두 개의 제휴사 가이드 매뉴얼( 그림 1 참조), Recorded Future 멀웨어 인텔리전스, Recorded Future Identity Intelligence 멀웨어 로그 및 기타 독점적인 조사 방법( Insikt Group )을 통해 이러한 제휴사의 운영 및 수법에 대한 상세하고 고유한 인사이트를 발견했습니다.
조사 결과는 두 가지 섹션으로 나뉩니다: 첫 번째 섹션에서는 제휴사의 기술 생태계를 조사하여 정보 탈취 기법, 선호하는 도구 및 서비스, 반복되는 운영 행태를 자세히 설명합니다. 두 번째는 루마 계열사가 광범위한 지하 경제에 어떻게 편입되어 있는지 살펴봅니다. 사이버 범죄 포럼 참여, 추가 인포스틸러 멀웨어 제품군 사용, 다른 유형의 온라인 사기 및 사기 연루 여부 등을 분석합니다.
위협 분석
운영 인프라 및 트레이드크래프트
개인정보 보호 강화 서비스
프록시 서비스
Insikt Group 표 1에 자세히 설명된 다양한 프록시 서비스를 활용하는 여러 루마 계열사를 관찰한 결과, 피아 프록시가 가장 자주 사용되는 서비스였습니다. 프록시는 개인정보 보호 및 연구와 같은 합법적인 목적으로 사용할 수 있지만, 사이버 범죄자들이 신원을 숨기고 탐지를 피하며 제한을 우회하기 위해 악용하는 경우가 많습니다. 사이버 범죄 포럼에서 공개적으로 판매되고 있는 ASocks와 멀웨어 기반 FACELESS와 같은 일부 서비스는 안드로이드 기기를 프록시로 변환하는 가짜 VPN과 연결되어 있으며, FACELESS는 멀웨어를 이용해 같은 목적으로 IoT 기기를 가로채는 데 사용됩니다. Insikt Group 는 사이버 범죄 포럼에서 홍보 여부 등 몇 가지 기준에 따라 프록시 서비스를 유형별로 평가했습니다.
표 1: 루마 계열사에서 사용하는 프록시 서비스 (출처: Recorded Future)
주목할 만한 점은 2024년 초, Lumma가 주거용 프록시 플러그인인 GhostSocks 팀과 협력하여 감염된 봇으로부터 SOCKS5 프록시를 생성할 수 있도록 지원하기 시작했다는 점입니다( 그림 2 참조)(1, 2). 2025년까지 Lumma는 이 서비스를 확장하여 제휴사에게 손상된 컴퓨터에 대한 백커넥트 프록시 액세스 권한을 제공했습니다. 이를 통해 위협 행위자는 피해자의 기기에서 시작된 것처럼 보이는 공격을 수행할 수 있었고, Lumma가 만료된 토큰을 새로 고치기 위해 일상적으로 악용하는 메커니즘인 Google의 쿠키 기반 보호와 같은 액세스 제어를 우회하는 능력을 크게 향상시킬 수 있었습니다.
적어도 한 사례에서, Insikt Group 는 2022년과 2023년 사이에 크랙드, 널드, 시니스터리, 이터니아, 크래킹 등의 사이버 범죄 포럼에서 "blackowl23"으로 알려진 ID vcs1q5를 빌드하는 데 연결된 루마 계열사가 Ngioweb 봇넷과 관련된 IP 주소를 사용한다는 사실을 확인했습니다. 이 봇넷은 이전에 사이버 범죄 프록시 서비스인 NSOCKS와 VN5Socks 및 Shopsocks5와 같은 다른 봇넷과 연결된 적이 있습니다. 공개 보고 및 기타 완화 조치로 인해 더 이상 봇넷의 일부가 아닌 것으로 보이는 관련 IP 주소는 부록 A에 나열되어 있습니다. IP 주소 중 상당수는 이전에 Insikt Group에서 검증하여 공개적으로 보고한 바 있습니다.
VPN 서비스
Insikt Group 에서 실시한 조사에 따르면, 분석 대상인 모든 Lumma 계열사는 어느 정도 VPN 서비스를 사용하고 있었으며, 여러 업체를 이용하는 경우도 많았습니다. 이러한 제휴사에서 사용 중인 VPN 서비스 중 일부가 표 2에 나와 있습니다.
표 2: 지난 1년간 Lumma 계열사가 사용한 VPN 서비스 (출처: Recorded Future)
탐지 방지 및 다중 계정 브라우저
Lumma 계열사는 신원 확인을 회피하고 보안 조치를 우회하며 여러 사기 계정을 동시에 관리하기 위해 개인정보 보호 및 탐지 방지 기능이 있는 특수 브라우저( 표 3 참조)에 의존하는 경우가 많습니다. 이러한 도구를 사용하면 위협 행위자는 자신의 실제 신원, 위치, 디지털 지문을 모호하게 하여 운영 보안(OPSEC)을 유지할 수 있습니다. Lumma 계열사에서 가장 많이 사용하는 브라우저 중 하나는 탐지되지 않고 위협 행위자가 제어하는 여러 계정을 관리하기 위해 명시적으로 맞춤화된 최고의 탐지 방지 브라우저 중 하나로 널리 알려진 Dolphin입니다. 돌핀의 기능은 애드스파워, 히데맥, 카멜레오와 유사하게 원활한 다중 계정 운영을 지원하여 운영 효율성과 익명성을 향상시킵니다. 사이버 범죄자들 사이에서 유명한 또 다른 도구인 옥토 브라우저는 고급 지문 마스킹 기능을 제공하여 법 집행 기관과 Threat Intelligence 전문가들이 위협 활동을 출처까지 추적하려는 노력을 더욱 복잡하게 만듭니다.
Brave 브라우저는 노골적인 탐지 방지보다는 사용자 개인 정보 보호를 강화하기 위해 주로 설계되었지만, 공격적인 광고 및 트래커 차단과 같은 강력한 기본 제공 보안 및 개인 정보 보호 기능으로 위협 행위자의 관심을 끌고 있습니다. 다중 계정 관리를 위해 명시적으로 맞춤화되지는 않았지만 개인 정보 보호에 중점을 둔 접근 방식은 온라인에서 익명성을 유지하려는 위협 행위자에게 중요한 기본 보호 기능을 제공합니다.
표 3: 루마 계열사에서 사용하는 다중 계정 관리용 탐지 방지 브라우저(출처: Recorded Future)
호스팅 제공업체
Lumma는 MaaS 서비스를 통해 핵심 C2 인프라를 제공하지만, 계열사는 피싱 활동, 페이로드 배포 및 기타 악성 활동을 지원하기 위해 별도의 호스팅 제공업체에 의존하고 있습니다. 분석된 Lumma 계열사와 연결된 호스팅 제공 업체 중 상당수는 합법적인 것으로 보이지만, 빌드 ID re0gvc에 연결된 Lumma 계열사가 사용한 AnonRDP, Bulletproof Hosting, Hostcay 등 사이버 범죄자에게 직접 서비스를 제공하고 악성 활동을 지원하는 것으로 보이는 업체도 눈에 띄었습니다.
AnonRDP
AnonRDP(anonrdp[.]com)는 자칭 방탄 호스팅 제공업체로 익명 VPS 및 RDP 서비스를 전문으로 하며, 프라이버시 및 차단에 대한 저항에 중점을 두고 있습니다( 그림 3 참조). 신원 확인이 필요하지 않으며 결제 서비스 제공업체인 NOWPayments와 암호화폐 거래소인 ChangeNOW를 통해 처리되는 비트코인, 모네로 등의 암호화폐 결제만 허용합니다. 악성 활동에 대한 내성은 BreachForums, Hack Forums, Nulled, Patched와 같은 딥 웹 포럼의 광고를 통해 더욱 확인할 수 있습니다. 그림 3에서 볼 수 있듯이 이 웹사이트는 봇넷, 원격 액세스 트로이목마(RAT), 피싱, 사기성 콘텐츠, 스팸 등의 호스팅, 배포 또는 제어와 같은 지원 활동을 명시적으로 인정하고 있습니다. 공개 보고서에 따르면, AnonRDP는 컨피그(설정) 생성, 크래킹 도구, 디지털 계정 거래 등 지하 생태계에 관여한 전력이 있는 것으로 알려진 개인 야쉬비르 케셰브가 운영합니다.
2025년 4월 1일, Aeza Group LLC의 공동 창립자이자 CEO인 유리 메루자노비치 보조얀이 체포된 후, Insikt Group 은 AnonRDP가 50개의% 할인을 통해 Aeza 고객을 빼내려고 시도했다는 사실을 발견했습니다. 밀렵이 어느 정도 성공했는지는 아직 불확실합니다.
방탄 호스팅
마찬가지로, Bulletproof Hosting(bulletproofhosting[.]org)은 익명성, 차단 방지 인프라를 제공하고 암호화폐 결제를 허용하며 ID 요구 사항이 없는 역외 개인정보 보호 중심 호스팅 제공업체로 마케팅하고 있습니다( 그림 4 참조). 이 웹사이트는 성인물, 불법 복제, 도박 및 기존 호스트에서 일반적으로 금지하는 기타 콘텐츠를 명시적으로 허용하는 관대한 콘텐츠 정책을 장려합니다. FastFlux와 같은 기술을 사용하고 최소한의 규제 감독을 받는 해외 또는 강화된 시설에서 호스팅하여 DMCA 통지, 남용 신고, 스팸 하우스 리스팅을 방어한다고 주장합니다. 자칭 '사이버 기술 전문가'가 연중무휴 24시간 지원하는 이 플랫폼은 익명성과 일관된 가동 시간을 모두 원하는 사용자에게 탄력적인 서비스로 자리매김하고 있으며, 이는 종종 위협 행위자나 논란이 많은 콘텐츠 운영자에게 어필하는 요소입니다.
HostCay
HostCay(hostcay[.]com)은 2023년에 설립되어 세이셸에 등록된 국제 비즈니스 회사(IBC)인 Netacel Inc.가 운영하는 개인 정보 보호에 중점을 둔 해외 호스팅 제공업체입니다. HostCay는 언론의 자유, 내부 고발자 지원, 콘텐츠 게시 중단 요청에 대한 저항을 우선시하는 호스팅 서비스를 전문으로 합니다( 그림 5 참조). 익명의 암호화폐 결제 지원, 신분증 요구 사항 없음, 강력한 언론의 자유 보호로 유명합니다.
Lumma 계열사들은 파일 호스팅 플랫폼 MEGA(메가[.]nz), 파일 및 텍스트 공유 서비스 Temp[.]sh 등 수많은 합법적인 호스팅 제공업체와 서비스를 활용하는 것도 관찰되었습니다. (temp[.]sh), 및 이미지 호스팅 서비스인 ImgBB(imgbb[.]com)를 사용합니다. 또한 다음과 같은 다양한 URL 단축 서비스를 사용했습니다. 및 free-url-shortener[.]rb[.]gy.
익스플로잇 및 암호화 서비스
루마 운영을 지원하는 주목할 만한 서비스 중 하나는 "@cryptexxx"로 알려진 행위자가 운영하는 서비스입니다. Lumma의 직접적인 계열사가 아닌 @cryptexxx는 Hector(도메인 hector[.]su를 통해 광고됨)로 알려진 암호화 및 익스플로잇 서비스의 운영자입니다. 멀웨어 배포자 등을 대상으로 합니다( 그림 6 참조). hector[.]su의 HTML 콘텐츠 에는 암호, exe, 익스플로잇, 크롬, 바이패스, 링크, url, xls, xll, doc, docx, pdf, 빌더, 매크로, 팝업 등의 메타 키워드가 포함되어 있어 다양한 파일 형식(오피스 매크로부터 크롬 익스플로잇까지)에 걸쳐 악성 페이로드를 생성하기 위한 광범위한 툴킷을 나타냅니다. 포럼 토론을 통해 이 서비스가 멀웨어를 전달하기 위한 완전 탐지 불가(FUD) 드로퍼와 문서 익스플로잇을 제공한다는 사실이 입증되었습니다. 예를 들어, 한 해커 포럼 사용자는 다른 해커들에게 " 헥터[.]su의URL 익스플로잇을 참조하라"고 명시적으로 지시하며 Gmail에 첨부할 수 있는 FUD 익스플로잇의 리소스로 삼습니다. 이러한 익스플로잇은 종종 악성 Excel 애드인 파일(.XLL) 또는 매크로로 연결된 문서와 같은 무기화된 Office 파일의 형태를 취하며, 이 파일에는 Lumma 페이로드가 포함되어 이메일 스캐너와 바이러스 백신 보호 기능을 통과하도록 설계되어 있습니다.
최근의 증거는 이러한 도구가 실제로 어떻게 사용되는지 보여줍니다. 2015년 중반, 한 지하 공급업체는 "최신 버전으로 2025년에 작동하며 Gmail에 첨부할 수 있고 FUD도 가능하다"는 업데이트된 Office 익스플로잇을 광고하면서 Gmail의 필터를 우회할 수 있다고 노골적으로 자랑했습니다. 또한 동일한 오퍼링은 0/26의 탐지율을 보여주는 AV 스캔 보고서와 함께 Windows Defender 런타임 우회 기능도 강조합니다. 즉, Lumma 계열사가 트로이 목마 파일(예: Excel .xll 파일 또는 악성 바로 가기/URL 파일)을 사용하여 이메일 게이트웨이 검색과 엔드포인트 안티바이러스 보호를 모두 회피하면서 도둑을 전달합니다.
이 제휴사는 @cryptexxx의 암호화 서비스 및 익스플로잇 빌더를 활용하여 스텔스 및 전달의 어려운 측면을 본질적으로 아웃소싱합니다. 멀웨어 개발자는 인포스틸러 멀웨어를 제공하고, 서비스 운영자(@cryptexxx)는 난독화 및 익스플로잇 툴킷을 제공하며, 제휴사는 이러한 툴을 사용하여 피해자에게 페이로드를 배포하는 등 LummaC2 운영의 협력적 특성을 보여주는 명확한 예시입니다.
이메일 연동 서비스 및 도구
Insikt Group 는 "막심에 의해 크랙된 이메일 소프트웨어 1.4.0.9"로 알려진 자격 증명 검증 도구와 "도누세프"로 알려진 피싱 페이지 생성 도구를 포함하여 다양한 이메일 및 스팸 관련 서비스를 사용하는 여러 루마 계열사를 관찰했으며, 이 두 도구는 적어도 한 건의 확진 사례에 배포되었을 가능성이 높습니다.
이메일 소프트웨어 1.4.0.9 금이 간 막심
Maksim에 의해 크랙된 이메일 소프트웨어 1.4.0.9는 Windows의 크랙 버전입니다. NET 기반 전자 메일 자격 증명 확인 도구( 그림 7 참조). IMAP 및 POP3와 같은 프로토콜을 사용하여 메일 서버에 대해 이메일 및 비밀번호 조합의 유효성을 검사하도록 설계되었습니다. 사용자는 큰 이메일 자격 증명 목록("콤보 목록"이라고도 함)을 입력하여 어떤 조합이 유효한지 확인할 수 있습니다. 또한 이 도구를 사용하면 이메일 콘텐츠 내에서 특정 키워드를 검색할 수 있습니다. 이 도구는 암호로 보호 .rar 된 다양한 해킹 및 크래킹 포럼(예: DemonForums 또는 XReactor)에 보관되어 있으며, 사용자들은 지하 마켓에서 최대 250달러의 가격을 보고합니다.
이 도구에는 처리된 이메일 주소의 상태 개요, 유효성 검사를 시작하거나 중지하는 제어판, 프록시 관리 기능 등 다양한 구성 옵션이 포함된 사용자 인터페이스가 있습니다( 그림 8 참조).
그림 8: Maksim이 금이 간 이메일 소프트웨어 1.4.0.9의 그래픽 사용자 인터페이스 (GUI)
(출처: Recorded Future)
Insikt Group 는 Lumma 계열사 블랙올23이 도난당한 인증 정보를 검증하는 데 이 도구를 사용했거나 계속 사용하고 있다고 평가하며, 블랙올23의 부동산 사기 관여 섹션에 설명된 후속 부동산 사기 등 다른 사기에도 이 도구를 활용하고 있습니다. 확인된 구성에 따라 제휴사가 도구를 사용자 지정했을 가능성이 있습니다.
DONUSSEF
Insikt Group 는 분석 당시 Google 드라이브에 호스팅된 공개 동영상에서 시연된 '도누세프'라는 또 다른 도구를 확인했습니다( 그림 9 참조). blackowl23이 사용하는 것으로 추정되는 이 도구는 AI를 사용하여 명령줄을 통해 피싱 페이지를 생성하도록 설계되었습니다. 사용자에게 URL, 제목, 의도된 피싱 콘텐츠에 대한 간단한 설명을 입력하라는 메시지를 표시한 다음 HTML 파일을 출력으로 생성합니다.
Insikt Group 에서 독립적으로 테스트할 수 없었기 때문에 이 도구가 생성할 수 있는 피싱 페이지의 전체 범위는 아직 명확하지 않습니다. 데모에서는 페이팔 피싱 페이지만 생성하는 것으로 나타났습니다( 그림 10 참조). 실제 HTML 페이지를 사용할 수 없었기 때문에 Insikt Group 에서는 해당 페이지의 효과를 평가하거나 알려진 캠페인에 표시되었는지 여부를 확인할 수 없었습니다.
추가 조사를 통해 도누세프 제작자로 의심되는 유튜브 채널( Insikt Group )을 확인했습니다. 이 배우가 이 채널을 사용하여 최소 두 가지 추가 도구를 시연했는데, 하나는 받은 편지함 전달률이 100인 이메일 발신자(% )로 판매되는 도구이고 다른 하나는 SMS 스팸( 동영상에서 "ULTRA-checker.py"라고 함)을 위한 도구입니다. 두 동영상 모두 2022년 12월 18일에 프랑스어 설정을 사용하는 디바이스에서 업로드되었습니다. 데모 동영상 중 하나에서 배우가 사용 및 접속한 이메일 계정은 두 개로, 이 계정은 배우와 연결된 것으로 추정되는 ussefescobar@seznam[.]cz와 ussefakkar@outlook[.]com입니다.
ULTRA-checker.py 도구에는 두 개의 텔레그램 채널에 대한 참조가 포함되어 있습니다: donussef와 @rdpvendor. 이러한 계정 중 적어도 하나는 스팸 관련 도구와 관련된 텔레그램 커뮤니티에서 활동하는 것으로 보입니다 ( 그림 11 참조). Insikt Group 도누세프 제작자로 의심되는 사람과 블랙윌23 사이의 추가 연결 고리를 찾지 못했습니다.
기타 이메일 발신자 및 리드 생성 서비스
Insikt Group 조즈 데이터(jozdata[.]com)를 포함하여 Lumma 계열사가 다양한 목적으로 사용하는 합법적인 이메일 관련 서비스 몇 가지를 확인했습니다, Mailchimp(mailchimp[.]com), Spamir(spamir[.]fr), 및 Mandrill(mandrillapp[.]com), 등이 있습니다. Joz Data는 마케팅 및 리드 생성을 위해 검증되고 세분화된 이메일 목록을 제공합니다. Mailchimp는 이메일 캠페인을 디자인하고 관리할 수 있는 합법적인 플랫폼입니다. Spamir는 테스트 툴킷으로 제공되지만 종종 스팸 또는 피싱 활동과 연결되는 대량 이메일 및 SMS 전송 도구를 제공합니다. Mailchimp의 유료 애드온인 Mandrill은 SMTP 또는 API를 통해 비밀번호 재설정 및 주문 확인과 같은 일대일 이벤트 트리거 메시지를 보내는 데 사용되는 트랜잭션 이메일 API입니다.
AVCheck 및 대안
멀웨어 또는 관련 인프라를 배포하는 많은 위협 행위자들과 마찬가지로, 루마의 계열사들도 표준 샌드박스 환경을 넘어서는 탐지 테스트 도구를 적극적으로 찾고 있습니다. 지난 12개월 동안 Insikt Group 은 최소 두 개 이상의 서비스를 사용하는 여러 제휴사를 관찰했습니다: AVCheck(avcheck[.]net), 2025년 5월에 법 집행 기관에 의해 압수된 KleenScan(kleenscan[.]com)이 대표적입니다. 또한 적어도 한 곳의 제휴사가 avscan[.]net을 사용했다는 징후도 있었습니다, 도메인이 매물로 등록되어 있어 분석 당시에는 그 존재와 성격을 확인할 수 없었습니다.
KleenScan은 사이버 범죄자들이 여러 안티바이러스 엔진에 대해 악성 파일, URL 및 도메인을 테스트하기 위해 자주 사용하고 판매되는 대체 멀웨어 스캐닝 서비스입니다( 그림 12 참조). 사용자 인터페이스, API, 명령줄 클라이언트, 업로드 및 실시간 또는 런타임 검사를 위한 텔레그램 봇(@kleenscanofficialbot)까지 제공하며, 제출된 샘플이 백신 공급업체와 공유되지 않도록 "배포 금지" 정책을 명시적으로 약속하고 있습니다. Insikt Group AVCheck의 압수수색이 있기 전인 2025년 5월에 Lumma 계열사들이 KleenScan을 사용하는 것을 에서 관찰했지만, 공개 보고에 따르면 사이버 범죄자들이 압수수색 이후 점점 더 KleenScan과 같은 플랫폼을 대안으로 삼고 있는 것으로 나타났습니다. 특히, KleenScan은 헥터[.] (그림 12 참조), 익스플로잇 브로커는 익스플로잇 및 암호화 서비스 섹션에서 더 자세히 설명합니다.
전화 및 SMS 서비스
Lumma 계열사는 OnlineSim, SMS-Activate, Zadarma와 같은 가상 전화 및 SMS 서비스를 많이 악용합니다( 표 4 참조). 이러한 플랫폼은 SMS 또는 음성 인증을 위한 일회용 전화번호를 제공하며, 위협 행위자는 이를 사용하여 OTP 기반 보안을 우회하고 개인 식별 정보를 사용하지 않고 가짜 계정을 생성합니다. Lumma 제휴사는 가상 번호로 2FA 코드 또는 활성화 PIN을 자동으로 수신하여 실제 전화선을 노출하지 않고도 멀웨어 배포 사이트, 클라우드 드라이브 또는 메시징 계정을 등록할 수 있습니다. 이러한 신원 난독화는 인프라 소유권을 일시적인 것으로 보이게 함으로써 어트리뷰션 및 삭제 노력을 좌절시키기 때문에 Lumma 생태계에서 매우 중요합니다.
실제로 이러한 서비스를 OTP 우회 및 가짜 계정 생성에 사용하면 루마 크루가 공격 범위를 넓히는 데 도움이 됩니다. 일회용 SMS 번호는 공격자가 일회용 비밀번호를 공격자가 제어하는 받은 편지함으로 리디렉션하여 SMS 기반 2단계 인증을 우회할 수 있게 해줍니다. 즉, 도난당한 계정이 SMS 2FA로 보호되더라도 Lumma 제휴사는 OTP를 자신이 관리하는 가상 번호로 재지정하여 보호 기능을 효과적으로 무효화할 수 있습니다. Zadarma(VoIP 제공업체)와 같은 서비스를 통해 범죄자는 가상 회선을 통해 전화나 문자를 수신하거나 OTP 가로채기 봇 및 피싱 계획의 일부로 스푸핑된 음성 통화를 수행할 수도 있습니다. 루마 제휴 프로그램 내 가이드와 커뮤니티 채팅에서는 일회용 이메일 및 텔레그램 계정 등록부터 C2 패널 또는 사기 결제 계정 설정에 이르기까지 운영 보안을 위해 이러한 도구를 사용하도록 권장하고 있습니다.
표 4: 루마 계열사가 사용하는 전화 및 SMS 연동 서비스(출처: Recorded Future)
메시징 플랫폼
Lumma 계열사는 여러 보안 메시징 및 정보 공유 도구를 일상적인 워크플로에 통합하여 운영 보안을 강화하고 익명성을 유지하며 디지털 발자국을 최소화합니다. 제휴사들은 일반적으로 Tox 프로토콜을 통해 엔드투엔드 암호화를 사용하는 분산형 P2P 메시징 클라이언트인 uTox를 사용합니다. 이 도구는 문자, 음성 및 비디오 메시지를 지원하는 지속적이고 안전한 통신을 용이하게 하며, 제휴사의 신원을 숨기고 중앙 서버 의존성을 피하기 위해 종종 토르 프록시와 결합됩니다.
루마 생태계 내 모바일 제휴사들은 Xabber, c0nnect[.]pro와 같은 안전한 XMPP 기반 안드로이드 애플리케이션을 선호합니다. 두 앱 모두 오프더레코드 암호화를 통한 암호화 통신, 다중 계정 관리, 비공개로 제어되는 XMPP 서버와의 호환성을 제공하므로 이동 중에도 개별적으로 조정하는 데 이상적입니다. 제휴사는 종종 이러한 애플리케이션을 Tor 프록시와 함께 실행하도록 구성하여 메타데이터를 더욱 난독화하고 디지털 노출을 줄입니다.
자격증명, 비밀번호, 지침과 같이 일시적이고 민감한 정보를 전송해야 하는 시나리오의 경우, Lumma 계열사들은 한 번 읽으면 자동 파괴되는 암호화된 노트를 생성하는 웹 기반 서비스인 Privnote를 자주 사용합니다. 이 기능은 영구적인 기록을 남기지 않음으로써 제휴사의 잠재적인 포렌식 공간을 크게 줄이고 운영 세부 정보를 안전하고 신속하게 교환할 수 있도록 지원합니다.
이러한 도구를 종합하면, Lumma 계열사가 사용하는 계층화된 통신 아키텍처를 형성하여 지속적인 통신, 모바일 유연성, 임시 보안 교환의 균형을 효과적으로 유지하여 위험을 최소화하고 은밀성을 강화합니다.
소셜 미디어 최적화
적어도 한 사례( Insikt Group )에서는 Lumma 계열사가 인스타그램, VK, 틱톡과 같은 플랫폼에서 좋아요를 무료로 빠르게 높일 수 있다고 주장하는 Bosslike(bosslike[.]ru) 서비스를 활용하여 사기 관련 활동을 지원하는 것을 관찰했습니다( 그림 13 참조).
제휴사의 사이버 범죄 생태계 편입
포럼 참여
Lumma의 제휴 생태계는 협업, 리소스, 마켓플레이스의 허브 역할을 하는 지하 포럼에서 번창하고 있습니다. XSS 및 익스플로잇과 같은 러시아어로 운영되는 사이버 범죄 포럼은 Lumma의 MaaS의 시작점 역할을 하며, 커뮤니티에서 처음 광고하고 검증한 곳이기도 합니다. 이러한 포럼은 기술적으로 능숙한 위협 행위자들을 끌어들이고 평판 시스템과 중재자 감독을 통해 새로운 멀웨어에 대한 신뢰성을 제공합니다. 제휴사는 Lumma 빌드뿐만 아니라 신뢰할 수 있는 에스크로 및 중재 서비스를 통해 툴을 구매하거나 파트너와 분쟁을 해결할 때 더욱 안전한 거래를 보장받기 위해 자주 이용합니다. 익스플로잇 및 XSS와 같은 포럼에서 쌓은 신뢰는 숙련된 모더레이터의 감시 아래 서버 임대부터 분쟁 해결까지 제휴사가 비즈니스를 수행할 수 있는 신뢰할 수 있는 환경을 제공합니다.
동시에 LolzTeam(zelenka[.]guru)과 같은 대중적인 사이버 범죄 커뮤니티도 있습니다. 는 루마의 작전 수행을 위한 보병 모집과 훈련의 온상이 되었습니다. 접근성이 높은 이 포럼은 인포스틸러 멀웨어를 전문적으로 유포하는 위협 행위자인 '트래퍼'를 위한 전용 섹션을 호스팅하며, 제휴 팀을 구성하고 신규 사용자를 교육하는 데 적극적으로 활용됩니다. 예를 들어, 롤즈팀에서는 노련한 범죄자들이 초보자에게 멀웨어 배포를 시작하는 데 필요한 모든 것을 제공하는 인포스틸러 제휴 프로그램을 광고합니다. 롤즈팀의 한 팀은 신입사원에게 무료로 암호화된 루마 빌드와 SEO 지원까지 제공하면서 훔친 암호화폐 자산으로 얻은 수익의 일부를 가져간 사례도 있습니다. 이러한 낮은 진입 장벽과 포럼에 게시된 사기 기법 및 운영 보안에 대한 튜토리얼이 결합되어 LolzTeam과 같은 플랫폼은 인포스틸러 배포를 위한 인력 풀로 변모하고 있습니다. 특정 지역을 표적으로 삼지 않는 규칙과 계획에 대한 공개 피드백을 포함한 포럼의 커뮤니티 중심 심사는 제휴사가 효과적이고 '수용 가능한' 전술을 배우는 데 도움이 됩니다. 이러한 게시판에서는 일반적인 사기 수법이 자주 논의되고 대중화되어 Lumma 제휴사가 수익 창출 수법과 피해자 조작 전략에 대한 인사이트를 얻을 수 있습니다.
가장 중요한 것은 이러한 언더그라운드 포럼이 이미 만들어진 마켓플레이스와 서비스를 제공한다는 점이며, Lumma 계열사는 이를 활용하여 탈취한 데이터를 수익화하고 캠페인을 최적화할 수 있습니다. 인포스틸러 로그는 수요가 많으며, 포럼은 이 데이터를 사고파는 번화한 마켓플레이스에 제휴사를 연결해 줍니다. 러시아 시장(rm1[.]to), 예를 들어, 포럼 서클을 통해 액세스할 수 있는 자동화된 상점은 방대한 재고와 원클릭 구매 편의성으로 인해 '도난당한 자격 증명의 아마존'으로 묘사되고 있습니다. 2024년 말에는 러시아 시장에서 약 92%(% )의 도난 로그 목록을 차지하며 인증 정보의 주요 공급원이 되었으며, 이는 Lumma 계열사들이 수익을 위해 이러한 플랫폼에 얼마나 광범위하게 데이터를 버리는지 잘 보여줍니다. 롤즈팀 자체 마켓플레이스 및 xleet[.]pw와 같은 기타 장소 마찬가지로 인포스틸러 로그, 손상된 계정, 디지털 상품에 대한 섹션이 포함되어 있어 제휴사가 Lumma 감염 데이터를 최고 입찰자에게 신속하게 판매할 수 있습니다. 포럼 마켓플레이스는 데이터 판매 외에도 Lumma 계열사를 초기 액세스 브로커 및 금융 사기 서비스와 연결하여 훔친 정보를 현금으로 전환하는 데 도움을 줍니다. 제휴사는 기업 로그인 자격 증명 구매자를 찾거나 이러한 포럼에서 광고하는 자금 세탁 및 현금 인출 서비스를 이용할 수 있습니다.
언더그라운드 포럼은 Lumma 계열사가 필요로 하는 기술 및 운영 지원을 위한 원스톱 상점의 역할도 합니다. Lumma 개발자 또는 동료 커뮤니티 회원이 운영하는 전용 스레드에서 기술 지원, 업데이트 공지, 문제 해결 조언을 실시간으로 제공합니다. 즉, 제휴사는 포럼 커뮤니티에서 빌더 설정, 안티바이러스 우회 팁에 대한 도움을 받거나 법 집행 기관의 삭제 조치에 대한 정보를 공유할 수 있습니다. 이 포럼은 또한 은밀한 캠페인을 실행하는 데 중요한 다양한 멀웨어 관련 서비스를 호스팅합니다. 모든 주요 포럼에는 방탄 호스팅, VPN, 트래픽 분산 제공업체가 모여 있습니다. 동일한 서비스 제공업체가 여러 사이트에 광고를 게재하는 경우가 많기 때문에 제휴사는 Lumma 멀웨어를 호스팅할 수 있는 탄력적인 서버와 웹 도메인을 쉽게 확보할 수 있습니다. 예를 들어, 인기 있는 카산드라 크립터 등이 포럼 마켓플레이스에서 홍보되고 있으며, 제휴사는 백신 탐지를 피하기 위해 지속적으로 Lumma 페이로드를 암호화하고 재패키징할 수 있습니다.
익스플로잇 키트, 가짜 문서 템플릿, 스팸봇 대여, 자격 증명 검사기 등 다양한 제품 생태계가 있으며, 제휴사는 이러한 커뮤니티에서 운영을 개선하기 위해 이러한 제품을 이용할 수 있습니다. 이러한 포럼을 통해 Lumma 제휴사는 커뮤니티의 검증을 거친 종합적인 도구 모음을 제공받을 수 있습니다. 이러한 실용적이고 운영적인 가치 때문에 Lumma의 제휴 네트워크는 지하 포럼에 깊숙이 자리 잡고 있습니다. 이들은 멀웨어를 배포하고 숨기는 수단뿐만 아니라 그 결과물을 현금화하는 메커니즘도 제공하며, 이 모든 것이 도둑들 간의 신뢰를 강화하는 반구조화된 커뮤니티 내에서 이루어집니다.
카딩 상점
루마 스틸러 제휴사는 b1ackstash[.]cc와 같은 전문 카딩 숍을 이용합니다, stashpatrick[.]io, BriansClub( 그림 15 참조)(bclub[.]cm 및 briansclub[.]cm), 및 binsoficial666[.]activo[.]mx 탈취한 금융 데이터를 효율적으로 수익화할 수 있습니다. Insikt Group 는 이러한 출처의 신뢰도는 매우 다양하며, BriansClub과 같은 업체는 결제 사기 생태계 내에서 공신력 있는 것으로 간주되는 반면, binsoficial666[.]activo[.] 는 평판이 매우 좋지 않습니다. 일반 사이버 범죄 게시판과 달리 카딩 웹사이트는 결제 데이터 거래 전용으로 신용카드 번호, 은행 로그인 정보, 개인 정보를 찾는 사기꾼들의 고객층을 끌어모으고 있습니다. Lumma 제휴사는 새로 얻은 카드 기록과 '풀즈'를 대량으로 판매하여 이러한 수요를 활용하며, 포럼의 에스크로 또는 상점 시스템을 통해 각 판매에 대해 일정 비율의 수익을 얻기도 합니다. 본질적으로 카딩 플랫폼은 루마 계열사들이 도난당한 카드 데이터를 빠르게 수익으로 전환할 수 있게 해주며, 브리안스클럽과 같은 대량 판매처는 역사적으로 멀웨어 계열사가 제공한 수백만 개의 손상된 카드를 밀매해 왔습니다.
Beyond sales, carding forums offer operational support for fraud that broader hacking forums do not. Lumma affiliates frequent these communities to learn and collaborate on card-not-present (CNP) fraud using stolen card credentials to buy goods or launder money online. The forums host vetted tutorials for abusing e-commerce sites and payment processors, helping thieves bypass anti-fraud measures. Members also advertise criminal services such as providing “drop” addresses (safe delivery points for goods bought with stolen cards) or converting illicit purchases into cash. Additionally, these forums supply validation tools and services critical to fraud operations. Lumma affiliates can purchase or access credit card checkers that automatically test which cards from their stealer logs remain valid and have credit available, ensuring they only spend time on live cards. They might also acquire Bank Identification Number (BIN) lists and other utilities, using the community’s pooled resources to maximize successful transactions. Carding sites enable Lumma affiliates to offload infostealer loot in bulk, complementing sales on broader crime forums. A single Lumma infection yields an expansive log of credentials, cookies, system data, and often multiple financial accounts; parsing and individually selling each asset can be labor-intensive. Carding marketplaces or associated breach data shops let affiliates resell entire stealer logs or specific datasets to other criminals who specialize in exploiting them. For example, high-value logs from Lumma, containing not just cards but bank account passwords or cryptocurrency wallet keys, are often posted on underground markets or offered via automated bot vendors shortly after exfiltration. This practice allows Lumma affiliates to monetize stolen information at scale: they can quickly sell bundles of fresh logs to brokers or fraud rings while focusing their own efforts on new infections. In tandem with general hacking forums, these carding forums provide the ecosystem for cashing out Lumma’s results. They offer a one-stop underground economy where affiliates convert stolen data into money through direct sales of CVVs and “fullz,” the provision of guidance and tools for fraudulent transactions, and the bulk resale of stolen logs. This significantly enhances both the profitability and practicality of Lumma operations.
추가 인포스틸러 사용
Insikt Group 루마와 함께 다른 인포스틸러를 활용하는 여러 루마 계열사를 관찰했습니다.
멕시코에 본사를 둔 Lumma 계열사로 추정되는 조직이 사용한 메두자 스틸러, 비다르 및 크랙스RAT
다양한 포럼에서 여러 가명으로 활동하는 멕시코 기반 위협 행위자로 추정되는 루마 빌드 ID re0gvc와 연결된 계열사는 IP 주소 195[.]133[.]18[.]15에 연결된 메두자 스틸러 인프라를 사용하는 것이 관찰되었습니다. 메두자 스틸러는 루마와 마찬가지로 Windows 기반 MaaS 인포스틸러로, 안티 분석 및 지리적 필터링 기술을 통해 탐지를 회피하면서 자격 증명, 브라우저 데이터, 암호화폐 지갑을 추출하도록 설계되었습니다.
Insikt Group 또한 동일한 위협 행위자가 Windows 기반 인포스틸러인 Vidar를 사용했다는 높은 신뢰도의 징후와 함께, 제휴사와 연관된 것으로 보이는 텔레그램 프로필 이미지를 기반으로 Android 기반 RAT인 크랙스랫(CraxsRAT)을 사용했다는 중간 신뢰도의 증거를 확인했습니다( 그림 17 참조). 이는 이 제휴사가 모바일 디바이스도 타겟팅했을 수 있음을 시사하지만, Insikt Group 이 활동을 확인할 수 있는 관련 샘플, 인프라 또는 캠페인을 찾지 못했습니다.
루마 제휴사 고통그림에서 사용하는 Stealc
여러 포럼에서 "suffergrime"으로 알려져 있고 duckfuck, cryptplease, ultracool2201, borodach, dedo4ek 등 여러 다른 가명으로 활동하는 또 다른 루마 빌드 ID test222 및 eLMNFu와 연결된 또 다른 계열사는 루마와 함께 StealC를 사용한 것으로 보입니다. Stealc는 C로 작성되어 MaaS로 배포되는 모듈식 회피형 정보 탈취 프로그램입니다. 보다 구체적으로, 고통그림은 URL hxxp://94[.]232[.]249[.]208/6a6fe9d70500fe64/main.php에서 Stealc 관리 패널과 상호 작용하는 것이 관찰되었습니다. Insikt Group 는 이 제휴사가 스페인어를 사용하는 사람일 가능성이 높다고 평가하며, 남미에서 출발했을 가능성을 시사하는 징후가 있습니다.
월렛과 빌사 스틸러에 대한 worldmix10k의 관심
위의 사례 외에도, Insikt Group 빌드 ID 1dacrp와 관련이 있고 "worldmix10k"로 알려진 Lumma 계열사( )가 이전에 "poopybuthoop"이라는 이름의 GitHub 리포지토리에서 호스팅되었던 "월렛 스틸러"와 이전에 공개적으로 보고되었던 인포스틸러인 Vilsa 스틸러에 관심을 표명한 두 개의 추가 스틸러에 대해 관찰했습니다. 분석 시점에 GitHub 리포지토리에 더 이상 액세스할 수 없었지만, 과거 스냅샷은 Ecosyste에서 보존하고 있었습니다.
특히 "worldmix10k"라는 문자열을 검색하면 Insikt Group은 같은 계열사에 연결된 빌드 ID "1dacRP--worldmix10k"의 Lumma 샘플로 연결되었습니다. 이 샘플에서는 techmindzs[.]live 그리고 지구 심포니 [...]오늘 를 C2 도메인으로 지정하고, 데드 드롭 해결을 위해 SteamCommunity URL( hxxps://steamcommunity[.]com/profiles/76561199822375128)을 지정하세요. Insikt Group 샘플과 연결된 정확한 감염 사슬을 식별할 수 없었습니다.
다른 사기에 연루된 경우
지난 12개월 동안 여러 루마 계열사를 분석한 결과, 추가 인포스틸러 사용 섹션에 설명된 대로 여러 인포스틸러를 동시에 사용하고 있을 뿐만 아니라 다양한 사기 행위에 연루되어 있을 가능성이 높은 것으로 나타났습니다. 이 사기 중 하나는 블랙올23( Insikt Group )이라는 루마 계열사와 관련된 것으로, 아래에서 자세히 살펴볼 수 있습니다.
blackowl23의 부동산 사기 연루
Insikt Group 는 독일 웹사이트 WG-Gesucht와 같은 플랫폼에 올라온 임대 매물을 통해 피해자들을 속여 아파트 관람 전에 돈을 지불하도록 유도하는 부동산 사기에 블랙올23이 연루되었다는 증거를 발견했습니다. 이 계획의 일환으로 blackowl23은 이메일 주소 immo-total[@]outlook[.]com을 사용했습니다. 및 mwimport[@]outlook[.]de ( 그림 19 참조).
보다 구체적으로, 이 제휴사는 "과거에 부동산을 임대하려는 사람들과 나쁜 경험을 했다"고 주장하며 "부동산에 도착했을 때 아무도 없었다"며 "비즈니스 약속이 취소되어 시간과 돈을 낭비했다"고 말했습니다. 이를 빌미로 피해자들에게 Booking.com을 통해 결제할 것을 요구했습니다, 절차가 안전하며 피해자가 아파트에 불만족할 경우 환불받을 수 있다고 주장했습니다( 그림 20 참조). 특히, 이 활동에서 관찰된 동일한 URL경로(property-aid-63785823-label-gen-832513841233)는 2024년에 포티안이 보고한 렌탈 사기 캠페인의 최종 단계 URL에서도 발견되었습니다. 이 경우 피해자들은 속아서 숙소를 예약했으며, 사용된 도메인은 오타 스쿼팅 변종인 booking[.]eu-apt-booking[.]homes로 보입니다, Cloudflare를 통해 호스팅됩니다.
안녕하세요,
안타깝게도 아니요, 하지만 여기 이 이메일에 아파트를 예약하고 확인할 수 있는 예약닷컴 링크가 첨부되어 있습니다.
플랫폼에서 임대 절차 및 결제가 완료되었다는 Booking.com의 확인을 받은 후, 직접 아파트를 방문하거나 입주를 예약할 수 있습니다.
임대 절차는 예약닷컴을 통해 안전하게 진행되며, 아파트가 마음에 들지 않을 경우 당일에 은행 계좌로 문제 없이 환불받을 수 있습니다.
아파트를 확인하고 임대 절차를 완료할 수 있는 예약닷컴 링크는 다음과 같습니다:
hxxps://REDACTED/property-aid-63785823-label-gen-832513841233/en/528104900
질문이나 우려 사항이 있으면 알려주세요.
임대 절차를 완료한 후 확인서를 보내주세요.
그림 20: Lumma 제휴사의 타겟에게 전송된 문자 (출처: Recorded Future)
Insikt Group 또한 이 제휴사가 전 세계에 에스크로 에이전트가 있다고 주장하고, 피해자에게 예약을 확보하기 위해 결제 링크를 보내며, 자금을 안전하게 보관하고 "사용 가능한 은행 계좌 중 하나"로 이체하겠다고 약속하는 등 유사한 수법을 사용했다는 증거도 발견했습니다. 이 경우 Insikt Group 에서 실제 결제 링크를 복구할 수 없습니다.
해당 제휴사가 WG-Gesucht와 같은 플랫폼에서 자체 계정을 만들었을 수도 있지만, 증거에 따르면 유출된 WG-Gesucht 자격 증명을 다수 보유하고 있는 것으로 나타났습니다. Insikt Group 는 이러한 인증정보 중 적어도 일부가 계열사의 루마 감염을 통해 도난당했다고 가정합니다. 이러한 맥락에서 로그 판매는 일반적으로 수익성이 높지만, WG-Gesucht와 같은 플랫폼용 인증정보와 같은 특정 인증정보의 가치는 직접적인 재판매보다는 후속 사기에 사용되기 때문에 일부 구매자가 제한된 관심을 보일 수 있다는 점에 유의하는 것이 중요합니다.
전망
Insikt Group의 루마 계열사에 대한 자체 조사 결과 프록시, VPN, 탐지 방지 브라우저, 익스플로잇 키트, 암호화 서비스, 멀웨어 탐지 도구 등 다양한 도구와 서비스를 통해 대규모 정보 탈취 생태계를 구축한 사실이 밝혀졌습니다. 조사 과정에서 Insikt Group 은 이전에 보고되지 않은 도구를 확인했으며, 제휴사가 대여 사기와 같은 여러 사기를 동시에 실행하면서 Vidar, Stealc, Meduza Stealer와 같은 추가 인포스틸러를 활용하여 성공률을 높이고 탐지 또는 법 집행 중단의 영향을 줄일 수 있는 방법을 보여주었습니다. 앞으로 루마 계열사들은 전문 포럼과 틈새 포럼을 통해 입지를 더욱 다각화하고, 암호화폐 중심 플랫폼 및 암호화된 메시징 생태계와 더욱 깊이 통합하여 탐지 및 방해 행위를 더욱 복잡하게 만들 것입니다.
많은 전술과 도구가 계열사 간에 표준화된 것처럼 보이지만, Lumma MaaS 운영자가 제공하는 공유 가이드의 영향을 받았을 가능성이 높지만 의미 있는 운영상의 차이가 존재합니다. 개별 제휴사의 행동을 이해하면 더 넓은 생태계 내에서 특정 위협이 어떻게 발생하고 진화하는지를 더 명확하게 파악할 수 있으므로 이러한 뉘앙스는 방어자에게 매우 중요합니다. 또한, 이번 조사 결과는 많은 루마 계열사가 단순한 가담자가 아니라 사이버 범죄 조직과 깊은 관계를 맺고 있는 조직원들이라는 점을 강조합니다. 멀웨어 제품군 전반에 걸쳐 계층화된 도구 세트와 다양화를 채택한 것은 성숙도와 적응력을 모두 시사합니다.
최근 법 집행 기관의 노력으로 인해 Lumma의 인프라가 일시적으로 중단되었지만, 최소한의 변경으로 신속하게 복구한 것은 그룹의 회복력과 운영 규율을 잘 보여줍니다. 법 집행 노력이 개별 계열사에 미치는 장기적인 영향은 신속한 인프라 복구, 선제적인 커뮤니케이션, 기능 개선을 통해 신뢰를 회복하고 유지하는 Lumma의 능력에 달려 있습니다. 더 넓게 보면, 최근 법 집행 기관의 작전은 현대의 사이버 범죄가 탈중앙화된 네트워크로 작동하며, 성공적인 중단조차도 단기적인 효과에 그치는 경향이 있다는 점을 강조합니다. 지속적인 대응을 위해서는 지속적인 법 집행 기관의 압박과 개별 계열사의 진화하는 전술을 추적하기 위한 표적 정보, 그리고 Lumma의 인프라를 교란하기 위한 노력이 필요합니다.
부록 A - 루마 계열사 블랙오울23이 사용하는 엔지오웹 봇넷 연결 IP 주소
부록 B - 침해 지표(IoC)
엔지오웹 IP 주소:
38[.]91[.]107[.]2
38[.]91[.]107[.]229
51[.]83[.]116[.]4
66[.]29[.]129[.]52
67[.]213[.]210[.]115
67[.]213[.]212[.]50
162[.]210[.]192[.]136
174[.]138[.]176[.]77
174[.]138[.]176[.]78
195[.]154[.]43[.]189
209[.]159[.]153[.]19
212[.]83[.]137[.]94
212[.]83[.]138[.]186
212[.]83[.]138[.]245
212[.]83[.]143[.]103
212[.]83[.]143[.]118
212[.]83[.]143[.]159
212[.]83[.]143[.]191
Lumma 샘플:
b8e02f2bc0ffb42e8cf28e37a26d8d825f639079bf6d948f8debab6440ee5630
메두자 패널:
hxxp://195[.]133[.]18[.]15/auth/login
Stealc Panel:
hxxp://94[.]232[.]249[.]208/6a6fe9d70500fe64/main.php