GrayAlpha, 다양한 감염 벡터를 사용하여 PowerNet 로더와 NetSupport RAT 배포

Executive Summary

Insikt Group은 일반적으로 FIN7이라고 불리는 금전적 동기 기반 그룹과 겹치는 위협 행위자인 GrayAlpha와 관련된 새로운 인프라를 발견했습니다. 새로 식별된 이 인프라에는 페이로드 배포에 사용되는 도메인과 GrayAlpha와 관련이 있는 것으로 추정되는 추가 IP 주소가 포함되어 있습니다. Insikt Group은 NetSupport RAT의 압축을 풀고 실행하는 PowerNet이라는 맞춤 PowerShell 로더를 발견했습니다. Insikt Group은 FakeBat과 유사하지만 난독화되어 있고 GrayAlpha와 연결된 문자열을 포함하는 MaskBat이라는 또 다른 맞춤 로더를 식별했습니다. 종합적으로 Insikt Group은 가짜 브라우저 업데이트 페이지, 가짜 7-Zip 다운로드 사이트, 트래픽 분배 시스템(TDS) TAG-124라는 세 가지 주요 감염 방법을 발견했습니다. 특히 TAG-124의 사용은 이 보고서 이전에는 공개적으로 문서화된 적이 없습니다. 세 가지 감염 벡터가 모두 동시에 사용되는 것이 관찰되었지만, 이 글을 쓰는 시점에는 가짜 7-Zip 다운로드 페이지만 여전히 활성화되어 있었고 2025년 4월에 새로 등록된 도메인이 나타났습니다. 이러한 사이트에 대한 추가 분석을 통해 GrayAlpha 작전에 연루되었을 가능성이 있는 개인을 식별할 수 있었습니다.

단기적으로, 방어 담당자들은 애플리케이션 허용 목록을 적용하여 합법적으로 보이지만 멀웨어가 포함된 파일의 다운로드를 차단하는 것이 권장됩니다. 허용 목록이 실용적이지 않은 경우, 포괄적인 직원 보안 교육이 필수적입니다. 특히, 악성 광고로 인한 예기치 않은 브라우저 업데이트 프롬프트나 리디렉션과 같은 의심스러운 행동을 인식하는 것이 중요합니다. 또한 이 보고서에서 제공하는 YARA 규칙 및 Malware Intelligence Hunting 쿼리와 같은 탐지 규칙의 사용은 현재 및 과거의 감염을 식별하는 데 필수적입니다. 멀웨어가 지속적으로 진화하므로 이러한 규칙은 자주 업데이트되어야 하며, 네트워크 아티팩트 모니터링과 Recorded Future Network Intelligence 사용을 포함한 광범위한 탐지 기법으로 지원되어야 합니다.

앞으로 방어 담당자는 더 광범위한 사이버 범죄 생태계를 모니터링하여 새로운 위협을 보다 효과적으로 예측하고 대응해야 합니다. 사이버 범죄의 지속적인 전문화로 여러 산업 분야의 조직이 표적이 될 가능성이 높아지고 있습니다. 사이버 범죄의 지속적인 수익성, 국제법 집행 협력의 제한, 보안 기술의 지속적인 발전이 이러한 추세를 촉진하고 있으며, 이는 결국 위협 행위자들의 혁신을 유도합니다. 지능형 지속 위협(APT) 활동은 종종 국가가 후원하는 단체와 연관되지만, GrayAlpha는 사이버 범죄 그룹도 유사한 수준의 지속성을 보일 수 있음을 보여줍니다. RaaS(Ransomware-as-a-Service) 모델과 마찬가지로 사이버 범죄자들은 점점 더 전문화되고 협력하고 있으므로 포괄적이고 적응력이 뛰어난 보안 태세를 도입해야 합니다.

주요 연구 결과

• Insikt Group은 페이로드 배포에 사용되는 도메인과 위협 행위자 인프라의 일부로 추정되는 추가 IP 주소 등, 일반적으로 FIN7으로 알려진 그룹과 겹치는 위협 행위자인 GrayAlpha와 연결된 새로운 인프라를 확인했습니다.
• Insikt Group은 NetSupport RAT을 압축 해제하고 실행하는 PowerNet이라는 새로운 맞춤 PowerShell 로더를 식별했습니다.
• Insikt Group은 FakeBat과 유사하지만 난독화되어 있고 GrayAlpha와 연결된 문자열을 포함하는 MaskBat이라는 또 다른 맞춤 로더를 식별했습니다.
• Insikt Group은 GrayAlpha와 관련된 세 가지 주요 감염 벡터인 가짜 브라우저 업데이트 페이지, 가짜 7-Zip 다운로드 사이트, 그리고 TDS TAG-124 네트워크를 식별했습니다. 특히 TAG-124 전송 메커니즘의 사용은 이 보고서 이전에는 공개적으로 문서화된 적이 없습니다.
• 세 가지 감염 방법이 모두 동시에 사용되었지만, 이 글을 쓰는 시점에는 가짜 7-Zip 다운로드 페이지만 여전히 활성화되어 있으며, 가장 최근의 도메인은 2025년 4월에 등장한 것으로 보입니다.
• Insikt Group은 7-Zip 페이지 분석을 통해 GrayAlpha 작전과 관련이 있을 수 있는 개인을 식별했습니다.

배경

GrayAlpha는 일반적으로 FIN7으로 알려진 금전적 동기의 사이버 범죄 집단과 겹치는 위협 행위자 클러스터이며 주요 인프라, 도구 및 기술을 공유합니다.

FIN7은 2013년부터 활동해 왔으며, 전 세계의 조직을 대상으로 한 사이버 범죄 단체 중 가장 활발하고 기술적으로 고도로 발전된 단체 중 하나로 평가받고 있습니다. 이 그룹은 전문적인 기업처럼 조직되어 있으며, 악성 소프트웨어 개발, 피싱 공격, 자금 세탁, 관리 등 각 분야를 담당하는 분할된 팀으로 구성되어 있습니다. FIN7은 주로 금융적 동기를 가진 캠페인을 통해 결제 카드 데이터 도용 및 기업 네트워크에 대한 무단 접근을 시도하는 것으로 알려져 있으며, 특히 소매업, 호텔업, 금융업 분야에서 활동하고 있습니다.

2018년, 미국 법무부(US DOJ)는 FIN7 조직의 고위 간부 3명 — Dmytro Fedorov, Fedir Hladyr, 및 Andrii Kolpakov —에 대한 기소장을 공개하며, 이 조직이 미국 47개 주와 다수 국가의 기업을 대상으로 한 광범위한 활동을 강조했습니다. 가짜 사이버 보안 업체인 “Combi Security”라는 이름으로 활동한 FIN7은 소셜 엔지니어링과 맞춤형 악성 소프트웨어(멀웨어), 특히 자체 개발한 백도어인 Carbanak의 변종들을 활용해 수천 개의 포인트 오브 세일(POS) 시스템을 침해하고 1,500만 건 이상의 결제 카드 기록을 유출했습니다. 미국 법무부(DOJ)의 기소 내용은 해당 단체의 계층적 지휘 체계를 드러냈으며, 구성원들은 침투 작전, 악성 소프트웨어 관리, 물류 조정 등 각기 정해진 역할을 수행했습니다. FIN7의 리더십에 대한 혼란에도 불구하고, 해당 조직의 기본 인프라와 운영 방식은 지속되어 글로벌 조직을 대상으로 한 범죄 활동이 계속될 수 있도록 했습니다.

FIN7은 운영을 지원하기 위해 다양한 맞춤형 및 재활용된 악성 소프트웨어와 도구를 사용합니다. 해당 그룹은 일반적으로 악성 첨부 파일이나 해킹된 사이트에 호스팅된 링크를 포함한 스피어 피싱 이메일을 통해 초기 접근 권한을 획득하며, 신뢰도를 높이기 위해 콜백 피싱과 결합되는 경우가 많습니다. FIN7의 초기 운영은 당시 독점적으로 보유한 Carbanak 백도어를 주요 명령 및 제어 프레임워크로 활용하여, 해당 그룹이 침해된 호스트를 관리하고 침해 후 활동을 조정할 수 있도록 했습니다. POWERTRASH — PowerShell 기반의 독특하게 난독화된 메모리 내 로더로 PowerSploit 프레임워크에서 파생된 —는 FIN7 침투 공격의 일관된 특징으로 등장해 왔으며, DiceLoader 및 해킹된 Core Impact 임플란트와 같은 페이로드를 배포하여 공격 실행, 수평 이동, 지속성 확보를 지원하는 데 사용되었습니다. FIN7은 또한 AuKill(AvNeutralizer로도 알려져 있음)이라는 맞춤형 EDR 회피 유틸리티를 개발했습니다. 이 유틸리티는 엔드포인트 보안 솔루션을 무력화하기 위해 설계되었으며, 이후 해당 그룹이 범죄 시장places에서 판매를 제안했다는 보고가 있었습니다. 최근 캠페인에서 FIN7은 Python 기반의 Anubis 백도어를 배포하는 것이 관찰되었습니다. 이 백도어는 메모리 내 실행을 통해 시스템에 대한 완전한 제어권을 제공하며, Base64로 인코딩된 데이터를 사용하여 명령 및 제어 인프라와 통신합니다.

2023년, FIN7은 REvil과 Maze와 같은 RaaS 그룹과의 제휴를 통해 랜섬웨어 배포를 포함한 운영 범위를 확장했으며, 동시에 자체 RaaS 프로그램인 Darkside와 BlackMatter(현재 폐쇄됨)를 관리해 왔습니다. 최근에 FIN7은 악성 MSIX 애플리케이션 패키지에 내장된 NetSupport RAT를 활용하는 것이 관찰되었습니다. 이 패키지는 가짜 업데이트 사이트와 악성 광고를 통해 배포되었습니다.

위협 분석

감염 벡터

지난 1년 동안 Insikt Group은 GrayAlpha와 관련된 세 가지 뚜렷한 감염 벡터를 확인했습니다. 이들은 겹치는 기간 동안 관찰되었고 모두 궁극적으로 NetSupport RAT 감염으로 이어졌습니다. 이 벡터에는 다음이 포함됩니다.

• 감염 벡터 1: Concur와 같은 합법적인 제품을 사칭하는 가짜 소프트웨어 업데이트
• 감염 벡터 2: 악성 7-Zip 다운로드 페이지
• 감염 벡터 3: TAG-124 TDS의 사용

이 캠페인에서 GrayAlpha는 두 가지 주요 유형의 PowerShell 로더를 사용했습니다. 독립형 맞춤 스크립트인 PowerNet과 동적 로더로서 FakeBat의 맞춤형 변종인 MaskBat이 여기에 해당합니다(그림 1 참조).

그림 1: 세 가지 다른 감염 벡터를 사용하는 GrayAlpha는 모두 NetSupport RAT 감염으로 이어집니다(출처: Recorded Future)

감염 벡터 1: 가짜 브라우저 업데이트

인프라 분석

적어도 2024년 4월부터 GrayAlpha는 가짜 브라우저 업데이트 웹사이트를 운영의 일부로 활용해 온 것으로 관찰되었습니다. 이러한 사이트는 Google Meet, LexisNexis, Asana, AIMP, SAP Concur, CNN, The Wall Street Journal, Advanced IP Scanner 등 다양한 합법적인 제품 및 서비스를 사칭합니다. 표 1은 2025년 현재 여전히 해석이 가능한 감염 벡터 1과 관련된 도메인 목록을 제공합니다. 그러나 활성 도메인 해석이 반드시 위협 행위자가 지속적으로 사용한다는 것을 의미하지는 아닙니다. 실제로 가장 최근에 관찰된 도메인은 2024년 9월에 해석이 시작되었습니다. 2025년 어느 시점에도 해석되지 않은 도메인을 포함하여 감염 벡터 1과 연결된 모든 도메인의 전체 목록은 부록 A에서 확인할 수 있습니다.

표 1: 감염 벡터 1과 연결된 도메인들은 2025년 현재까지 여전히 해결되고 있습니다 (출처: Recorded Future)

가짜 업데이트 웹사이트는 종종 호스트 시스템을 식별하기 위해 설계된 동일한 스크립트를 사용하며, 이 스크립트는 getIPAddress() 및 trackPageOpen() 함수로 구성되어 있습니다. 앞서 보고된 바와 같이, 이 스크립트는 일반적으로 CDN 테마의 도메인(예: cdn40[.]click )으로 POST 요청을 전송합니다. ( 그림 2를 참조하십시오). 이 도메인들은 일반적으로 "cdn" 로 시작되며, 그 다음에 임의의 숫자와 최상위 도메인(TLD)이 이어집니다. 악성 페이로드는 일반적으로 /download.php 엔드포인트를 통해 전달됩니다. 그러나 Insikt Group은 또한 /download/download.php와 같은 변종도 식별했습니다. 다운로드2.php, 및 제품별 경로(예: /download/aimp_5.30.2541_w64-release.exe). 또한, 적어도 한 건의 사례에서 위협 행위자들은 해킹당한 도메인 — worshipjapan[.]com —을 사용한 것으로 보입니다. — 지문 인식 목적으로. 이 활동은 as4na[.]com 도메인과 관련된 웹사이트에서 관찰되었습니다.

그림 2: 가짜 업데이트 페이지에서 흔히 발견되는 JavaScript 함수 예시: meet-go[.]click (출처: URL 검사)

특히, 감염 벡터 1과 관련된 대부분의 도메인은 합법적인 소프트웨어 제품을 사칭하도록 제작되었지만, 일부는 무작위로 생성되거나 임의적인 것으로 보입니다. 예를 들어, WHOIS 기록에 따르면 이메일 주소 kasalboov@web[.]de에 연결된 teststeststests003202[.]shop이 있습니다. 이 동일한 이메일은 lexisnexis[.]pro, aimp[.]xyz, concur[.]life, cdn3535[.]shop, cdn251[.]lol 등의 도메인에도 연결되어 있습니다. 추가 변칙에는 gogogononono[.]top과 gogogononono[.]xyz 같은 도메인이 있으며, 둘 다 IP 주소 103[.]35[.]190[.]40에서 호스팅되고 이 주소는 lexisnexis[.]lat도 호스팅합니다.

가짜 Advanced IP Scanner를 사용한 FIN7의 과거 활동

이 보고서에서 논의된 바와 같이, GrayAlpha와 연결된 첫 번째 Advanced IP Scanner 테마 도메인이 2024년 초에 해상되기 시작했지만( 그림 3 참조), Insikt Group은 이미 2023년 하반기부터 FIN7이 가짜 Advanced IP Scanner 도메인을 활용해 피해자를 공격하는 것을 관찰했습니다. 구체적으로, 2023년 9월 말 짧은 기간 동안 Insikt Group은 FIN7이 제어하는 Carbanak C2 서버 166[.]1[.]160[.] 118과 통신하는 212개 이상의 감염된 시스템을 식별했습니다. TCP 포트 443을 통해. 이 활동은 처음에는 하루 동안의 취약점 체인 악용으로 인해 발생했다고 추정되었지만, 후속 분석 결과 감염은 오히려 typosquatted 도메인 advanced-ip-sccanner[.]com과 연관되어 있는 것으로 밝혀졌습니다. — 당시 Cloudflare를 통해 호스팅되고 있었습니다.

그림 3: 고급 IP 스캐너(Advanced IP Scanner)의 가짜 다운로드 페이지가 advancedipscannerapp[.]com에 존재합니다. (출처: URL 검사)

호스팅 분석

감염 벡터 1과 관련된 대부분의 도메인은 방탄 호스팅 제공업체인 Stark Industries Solutions(AS44477)가 운영하는 인프라로 확인되었으며, AS29802(HIVELOCITY, Inc.) 및 AS41745(FORTIS-AS)에서 추가 호스팅이 관찰되었습니다(그림 4 참조). 특히 AS29802의 인프라는 방탄 호스팅 업체인 3NT Solutions LLP에 의해 제어되고 HIVELOCITY를 통해 발표된 IP 공간으로 구성되었습니다. 감염 벡터 2의 호스팅 인프라는 이 보고서의 감염 벡터 2: 7-Zip 사칭 섹션에서 자세히 설명한 대로 주로 AS41745에 집중되어 있습니다.

그림 4: 감염 벡터 1에서 관찰된 ASN의 세부 분류(출처: Recorded Future)

FORTIS-AS(AS41745)는 관리하는 조직인 "Baykov Ilya Sergeevich"(ORG-HIP1-RIPE)에서 일반적으로 부르는 명칭이며, FIN7과 관련된 활동에 반복적으로 활용되었습니다. Stark Industries Solutions와 연결된 인프라 외에도, FORTIS-AS는 FIN7 작전과 직접 관련된 POWERTRASH 및 DiceLoader와 같은 멀웨어 계열을 배포하는 데 사용되는 인프라를 호스팅했습니다.

GrayAlpha에서 사용하는 넷블록 85[.]209[.]134[.]0/24에 대한 WHOIS 기록에 따르면, 이 블록은 Baykov Ilya Sergeevich(ORG-HIP1-RIPE)에 할당됩니다. 이 엔터티는 인프라 서비스 제공업체(ISP) “hip-hosting”과 밀접하게 연결되어 있으며, fortis[.]host 및 hip-hosting[.]com 같은 도메인을 포함하여 여러 접점과 기술 참조가 기록 전체에 나타납니다(그림 5 참조).

그림 5: 베이코프 일야 세르게예비치와 연결된 연락처 정보 (출처: Recorded Future)

Insikt Group 높은 신뢰도로 평가합니다. “hip-hosting”이 “Baykov Ilya Sergeevich” (ORG-HIP1-RIPE)라는 실체 뒤에 있는 인터넷 서비스 제공업체(ISP)입니다. 이 평가는 WHOIS 기록 및 RIPE ORG 객체에 포함된 ORG-HIP1-RIPE에 대한 다수의 확인 가능한 데이터 포인트에 의해 뒷받침됩니다.

전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.