GrayAlpha, 다양한 감염 벡터를 사용하여 PowerNet 로더와 NetSupport RAT 배포
Executive Summary
Insikt Group은 일반적으로 FIN7이라고 불리는 금전적 동기 기반 그룹과 겹치는 위협 행위자인 GrayAlpha와 관련된 새로운 인프라를 발견했습니다. 새로 식별된 이 인프라에는 페이로드 배포에 사용되는 도메인과 GrayAlpha와 관련이 있는 것으로 추정되는 추가 IP 주소가 포함되어 있습니다. Insikt Group은 NetSupport RAT의 압축을 풀고 실행하는 PowerNet이라는 맞춤 PowerShell 로더를 발견했습니다. Insikt Group은 FakeBat과 유사하지만 난독화되어 있고 GrayAlpha와 연결된 문자열을 포함하는 MaskBat이라는 또 다른 맞춤 로더를 식별했습니다. 종합적으로 Insikt Group은 가짜 브라우저 업데이트 페이지, 가짜 7-Zip 다운로드 사이트, 트래픽 분배 시스템(TDS) TAG-124라는 세 가지 주요 감염 방법을 발견했습니다. 특히 TAG-124의 사용은 이 보고서 이전에는 공개적으로 문서화된 적이 없습니다. 세 가지 감염 벡터가 모두 동시에 사용되는 것이 관찰되었지만, 이 글을 쓰는 시점에는 가짜 7-Zip 다운로드 페이지만 여전히 활성화되어 있었고 2025년 4월에 새로 등록된 도메인이 나타났습니다. 이러한 사이트에 대한 추가 분석을 통해 GrayAlpha 작전에 연루되었을 가능성이 있는 개인을 식별할 수 있었습니다.
단기적으로, 방어 담당자들은 애플리케이션 허용 목록을 적용하여 합법적으로 보이지만 멀웨어가 포함된 파일의 다운로드를 차단하는 것이 권장됩니다. 허용 목록이 실용적이지 않은 경우, 포괄적인 직원 보안 교육이 필수적입니다. 특히, 악성 광고로 인한 예기치 않은 브라우저 업데이트 프롬프트나 리디렉션과 같은 의심스러운 행동을 인식하는 것이 중요합니다. 또한 이 보고서에서 제공하는 YARA 규칙 및 Malware Intelligence Hunting 쿼리와 같은 탐지 규칙의 사용은 현재 및 과거의 감염을 식별하는 데 필수적입니다. 멀웨어가 지속적으로 진화하므로 이러한 규칙은 자주 업데이트되어야 하며, 네트워크 아티팩트 모니터링과 Recorded Future Network Intelligence 사용을 포함한 광범위한 탐지 기법으로 지원되어야 합니다.
앞으로 방어 담당자는 더 광범위한 사이버 범죄 생태계를 모니터링하여 새로운 위협을 보다 효과적으로 예측하고 대응해야 합니다. 사이버 범죄의 지속적인 전문화로 여러 산업 분야의 조직이 표적이 될 가능성이 높아지고 있습니다. 사이버 범죄의 지속적인 수익성, 국제법 집행 협력의 제한, 보안 기술의 지속적인 발전이 이러한 추세를 촉진하고 있으며, 이는 결국 위협 행위자들의 혁신을 유도합니다. 지능형 지속 위협(APT) 활동은 종종 국가가 후원하는 단체와 연관되지만, GrayAlpha는 사이버 범죄 그룹도 유사한 수준의 지속성을 보일 수 있음을 보여줍니다. RaaS(Ransomware-as-a-Service) 모델과 마찬가지로 사이버 범죄자들은 점점 더 전문화되고 협력하고 있으므로 포괄적이고 적응력이 뛰어난 보안 태세를 도입해야 합니다.
주요 연구 결과
- Insikt Group은 페이로드 배포에 사용되는 도메인과 위협 행위자 인프라의 일부로 추정되는 추가 IP 주소 등, 일반적으로 FIN7으로 알려진 그룹과 겹치는 위협 행위자인 GrayAlpha와 연결된 새로운 인프라를 확인했습니다.
- Insikt Group은 NetSupport RAT을 압축 해제하고 실행하는 PowerNet이라는 새로운 맞춤 PowerShell 로더를 식별했습니다.
- Insikt Group은 FakeBat과 유사하지만 난독화되어 있고 GrayAlpha와 연결된 문자열을 포함하는 MaskBat이라는 또 다른 맞춤 로더를 식별했습니다.
- Insikt Group은 GrayAlpha와 관련된 세 가지 주요 감염 벡터인 가짜 브라우저 업데이트 페이지, 가짜 7-Zip 다운로드 사이트, 그리고 TDS TAG-124 네트워크를 식별했습니다. 특히 TAG-124 전송 메커니즘의 사용은 이 보고서 이전에는 공개적으로 문서화된 적이 없습니다.
- 세 가지 감염 방법이 모두 동시에 사용되었지만, 이 글을 쓰는 시점에는 가짜 7-Zip 다운로드 페이지만 여전히 활성화되어 있으며, 가장 최근의 도메인은 2025년 4월에 등장한 것으로 보입니다.
- Insikt Group은 7-Zip 페이지 분석을 통해 GrayAlpha 작전과 관련이 있을 수 있는 개인을 식별했습니다.
배경
GrayAlpha는 일반적으로 FIN7으로 알려진 금전적 동기의 사이버 범죄 집단과 겹치는 위협 행위자 클러스터이며 주요 인프라, 도구 및 기술을 공유합니다.
FIN7은 최소 2013년부터 활동해 왔으며, 전 세계 조직을 대상으로 하는 가장 활발하고 기술적으로 정교한 사이버 범죄 그룹 중 하나로 간주됩니다. 이 그룹은 멀웨어 개발, 피싱 운영, 자금 세탁 및 관리를 담당하는 팀으로 나뉘어 전문 기업처럼 조직되어 있습니다. FIN7은 주로 결제 카드 데이터 도난 및 기업 네트워크에 대한 무단 액세스와 관련된 금전적 동기의 캠페인으로 잘 알려져 있으며, 특히 소매, 접객 및 금융 부문에서 활동합니다.
2018년, 미국 법무부(US DOJ)는 드미트로 페도로프(Dmytro Fedorov), 페디르 흘라디르(Fedir Hladyr), 안드리 콜파코프(Andrii Kolpakov) 등 FIN7 고위 구성원 3명에 대한 기소장을 공개하며, 이 그룹이 미국 47개 주와 여러 국가에서 광범위한 활동을 벌였음을 강조했습니다. FIN7은 가짜 사이버 보안 회사인 "Combi Security"라는 이름으로 활동하면서, 소셜 엔지니어링과 그룹이 자체 개발한 백도어인 Carbanak의 변종을 포함한 맞춤형 멀웨어를 활용하여 수천 개의 POS 시스템을 손상시키고 1,500만 개 이상의 결제 카드 기록을 유출했습니다. 미국 법무부의 기소로 이 그룹의 계층적 지휘 구조가 드러났으며, 구성원들은 침입 작전, 멀웨어 관리 및 물류 조정에서 정해진 역할을 수행했습니다. 리더십의 혼란에도 불구하고 FIN7의 기본 인프라와 거래 기술은 지속되어 더 광범위한 범죄 기업이 글로벌 조직을 계속 표적으로 삼을 수 있었습니다.
FIN7은 운영을 지원하기 위해 다양한 맞춤형 및 재활용 멀웨어와 도구를 사용합니다. 이 그룹은 일반적으로 악성 첨부 파일이 포함된 스피어피싱 이메일이나 손상된 사이트에서 호스팅되는 링크를 통해 초기 접근 권한을 획득하며, 신뢰성을 높이기 위해 콜백 피싱과 결합하는 경우가 많습니다. FIN7의 초기 작전에서는 당시 독점적이었던 Carbanak 백도어를 주요 명령 및 제어 프레임워크로 활용하여 손상된 호스트를 관리하고 손상 후 활동을 조정했습니다. PowerSploit 프레임워크에서 변형되어 고유하게 난독화된 PowerShell 기반의 인메모리 로더인 POWERTRASH도 FIN7 침입에서 일관적으로 나타나는 특징으로, 익스플로잇, 측면 이동 및 지속성을 지원하기 위해 DiceLoader 및 크랙된 Core Impact 임플란트와 같은 페이로드를 배포하는 데 사용되었습니다. FIN7은 또한 엔드포인트 보안 솔루션을 비활성화하도록 설계된 맞춤형 EDR 회피 유틸리티인 AuKill(AvNeutralizer라고도 함)을 개발했으며, 이는 나중에 이 그룹이 범죄 시장에서 판매용으로 제공한 것으로 보고되었습니다. 가장 최근의 캠페인에서 FIN7은 Python 기반 Anubis 백도어를 배포하는 것이 관찰되었으며, 이는 인메모리 실행을 통해 전체 시스템을 제어하고 Base64로 인코딩된 데이터를 사용하여 명령 및 제어 인프라와 통신합니다.
2023년에 FIN7은 REvil 및 Maze와 같은 RaaS 그룹과의 제휴를 통해 랜섬웨어 배포를 포함하도록 운영을 확장했습니다. 또한, 지금은 사용 중지된 Darkside 및 BlackMatter를 포함한 자체 RaaS 프로그램도 관리했습니다. 최근 FIN7은 가짜 업데이트 사이트와 악성 광고를 통해 전달된 악성 MSIX 애플리케이션 패키지의 NetSupport RAT를 활용하는 것이 관찰되었습니다.
위협 분석
감염 벡터
지난 1년 동안 Insikt Group은 GrayAlpha와 관련된 세 가지 뚜렷한 감염 벡터를 확인했습니다. 이들은 겹치는 기간 동안 관찰되었고 모두 궁극적으로 NetSupport RAT 감염으로 이어졌습니다. 이 벡터에는 다음이 포함됩니다.
- 감염 벡터 1: Concur와 같은 합법적인 제품을 사칭하는 가짜 소프트웨어 업데이트
- 감염 벡터 2: 악성 7-Zip 다운로드 페이지
- 감염 벡터 3: TAG-124 TDS의 사용
이 캠페인에서 GrayAlpha는 두 가지 주요 유형의 PowerShell 로더를 사용했습니다. 독립형 맞춤 스크립트인 PowerNet과 동적 로더로서 FakeBat의 맞춤형 변종인 MaskBat이 여기에 해당합니다(그림 1 참조).
그림 1: GrayAlpha는 세 가지 감염 벡터를 사용하며 모두 NetSupport RAT 감염으로 이어집니다(출처: Recorded Future)
감염 벡터 1: 가짜 브라우저 업데이트
인프라 분석
적어도 2024년 4월부터 GrayAlpha는 가짜 브라우저 업데이트 웹사이트를 운영의 일부로 활용해 온 것으로 관찰되었습니다. 이러한 사이트는 Google Meet, LexisNexis, Asana, AIMP, SAP Concur, CNN, The Wall Street Journal, Advanced IP Scanner 등 다양한 합법적인 제품 및 서비스를 사칭합니다. 표 1은 2025년 현재 여전히 해석이 가능한 감염 벡터 1과 관련된 도메인 목록을 제공합니다. 그러나 활성 도메인 해석이 반드시 위협 행위자가 지속적으로 사용한다는 것을 의미하지는 아닙니다. 실제로 가장 최근에 관찰된 도메인은 2024년 9월에 해석이 시작되었습니다. 2025년 어느 시점에도 해석되지 않은 도메인을 포함하여 감염 벡터 1과 연결된 모든 도메인의 전체 목록은 부록 A에서 확인할 수 있습니다.
| 도메인 | IP 주소 | ASN | 처음 발견 | 마지막으로 발견 |
| 2024-aimp[.]info | 86[.]104[.]72[.]23 | AS44477 | 2024-07-04 | 2025-05-04 |
| advanced-ip-scanner[.]link | 138[.]124[.]183[.]79 | AS44477 | 2024-04-29 | 2025-04-30 |
| aimp[.]day | 138[.]124[.]183[.]176 | AS44477 | 2024-04-10 | 2025-04-11 |
| aimp[.]pm | 138[.]124[.]183[.]176 | AS44477 | 2024-04-22 | 2025-04-23 |
| aimp[.]xyz | 38[.]180[.]142[.]198 | AS29802 | 2024-05-08 | 2025-05-02 |
| concur[.]life | 103[.]35[.]191[.]222 | AS44477 | 2024-05-07 | 2025-05-04 |
| law2024[.]info | 91[.]228[.]10[.]81 | AS44477 | 2024-06-12 | 2025-05-04 |
| law2024[.]top | 91[.]228[.]10[.]81 | AS44477 | 2024-06-13 | 2025-05-05 |
| lexis2024[.]info | 103[.]35[.]191[.]137 | AS44477 | 2024-06-10 | 2025-05-05 |
| lexis2024[.]pro | 103[.]35[.]191[.]137 | AS44477 | 2024-06-11 | 2025-05-03 |
| lexisnex[.]pro | 103[.]35[.]191[.]137 | AS44477 | 2024-06-12 | 2025-05-04 |
| lexisnex[.]team | 103[.]35[.]191[.]137 | AS44477 | 2024-06-11 | 2025-05-05 |
| lexisnex[.]top | 103[.]35[.]191[.]137 | AS44477 | 2024-06-11 | 2025-05-03 |
| lexisnexis[.]day | 89[.]105[.]198[.]190 | AS204601 | 2024-05-01 | 2025-05-01 |
| lexisnexis[.]lat | 103[.]35[.]190[.]40 | AS44477 | 2024-06-14 | 2025-03-30 |
| lexisnexis[.]one | 103[.]35[.]191[.]137 | AS44477 | 2024-06-05 | 2025-05-04 |
| lexisnexis[.]pro | 103[.]35[.]191[.]137 | AS44477 | 2024-05-07 | 2025-05-05 |
| lexisnexis[.]top | 103[.]35[.]191[.]137 | AS44477 | 2024-06-07 | 2025-05-04 |
| meet-go[.]info | 103[.]113[.]70[.]158 | AS44477 | 2024-05-07 | 2025-05-02 |
| meet[.]com[.]de | 45[.]89[.]53[.]243 | AS44477 | 2024-05-23 | 2025-02-16 |
| sapconcur[.]top | 86[.]104[.]72[.]208 | AS44477 | 2024-06-13 | 2025-05-04 |
| thomsonreuter[.]info | 86[.]104[.]72[.]16 | AS44477 | 2024-06-15 | 2025-05-04 |
| thomsonreuter[.]pro | 86[.]104[.]72[.]16 | AS44477 | 2024-06-15 | 2025-05-05 |
| wsj[.]pm | 103[.]113[.]70[.]37 | AS44477 | 2024-04-19 | 2025-04-19 |
표 1: 2025년 현재 여전히 해석이 가능한 감염 벡터 1과 연결된 도메인(출처: Recorded Future)
가짜 업데이트 웹사이트는 종종 호스트 시스템의 지문 정보 수집을 위해 설계된 것과 동일한 스크립트를 사용하며 이 스크립트는 getIPAddress() 및 trackPageOpen() 함수로 구성됩니다. 이전에 보고된 바와 같이, 이러한 스크립트는 일반적으로 cdn40[.]click과 같은 CDN 테마 도메인으로 POST 요청을 보냅니다 (그림 2 참조). 이러한 도메인은 일반적으로 "cdn"으로 시작하고 임의의 숫자와 최상위 도메인(TLD)이 뒤따릅니다. 악성 페이로드는 일반적으로 /download.php 엔드포인트를 통해 전달됩니다. 그러나 Insikt Group은 /download/download.php, download2.php, 제품별 경로(예: /download/aimp_5.30.2541_w64-release.exe)를 포함한 변형도 식별했습니다. 또한 적어도 한 가지 사례에서 위협 행위자는 손상된 도메인인 worshipjapan[.]com을 지문 정보 수집 목적으로 사용한 것으로 나타났습니다. 이 활동은 as4na[.]com 도메인과 관련된 웹사이트에서 관찰되었습니다.
그림 2: meet-go[.]click과 같은 가짜 업데이트 페이지에서 발견된 일반적인 JavaScript 함수 (출처: URLScan)
특히, 감염 벡터 1과 관련된 대부분의 도메인은 합법적인 소프트웨어 제품을 사칭하도록 제작되었지만, 일부는 무작위로 생성되거나 임의적인 것으로 보입니다. 예를 들어, WHOIS 기록에 따르면 이메일 주소 kasalboov@web[.]de에 연결된 teststeststests003202[.]shop이 있습니다. 이 동일한 이메일은 lexisnexis[.]pro, aimp[.]xyz, concur[.]life, cdn3535[.]shop, cdn251[.]lol 등의 도메인에도 연결되어 있습니다. 추가 변칙에는 gogogononono[.]top과 gogogononono[.]xyz 같은 도메인이 있으며, 둘 다 IP 주소 103[.]35[.]190[.]40에서 호스팅되고 이 주소는 lexisnexis[.]lat도 호스팅합니다.
가짜 Advanced IP Scanner를 사용한 FIN7의 과거 활동
이 보고서에서 논의된 바와 같이, GrayAlpha와 연결된 최초의 Advanced IP Scanner 테마 도메인은 2024년 초에 해석을 시작했지만(그림 3 참조), Insikt Group은 이미 2023년 하반기에 FIN7이 가짜 Advanced IP Scanner 도메인을 활용하여 피해자를 해킹하는 것을 관찰했습니다. 특히, 2023년 9월 말 짧은 기간 동안 Insikt Group은 TCP 포트 443을 통해 FIN7이 제어하는 Carbanak C2 서버 *166[.]1[.]160[.]118*과 통신하는 감염된 시스템을 212개 이상 확인했습니다. 처음에는 이 활동이 하루짜리 취약점 체인을 악용한 것으로 여겨졌으나, 이후 분석 결과 감염이 당시 Cloudflare 뒤에서 운영되던 타이포스쿼팅된 도메인 advanced-ip-sccanner[.]com과 연결되어 있음이 밝혀졌습니다.
그림 3: advancedipscannerapp[.]com의 가짜 Advanced IP Scanner 다운로드 페이지 (출처: URLScan)
호스팅 분석
감염 벡터 1과 관련된 대부분의 도메인은 방탄 호스팅 제공업체인 Stark Industries Solutions(AS44477)가 운영하는 인프라로 확인되었으며, AS29802(HIVELOCITY, Inc.) 및 AS41745(FORTIS-AS)에서 추가 호스팅이 관찰되었습니다(그림 4 참조). 특히 AS29802의 인프라는 방탄 호스팅 업체인 3NT Solutions LLP에 의해 제어되고 HIVELOCITY를 통해 발표된 IP 공간으로 구성되었습니다. 감염 벡터 2의 호스팅 인프라는 이 보고서의 감염 벡터 2: 7-Zip 사칭 섹션에서 자세히 설명한 대로 주로 AS41745에 집중되어 있습니다.
그림 4: 감염 벡터 1에서 관찰된 ASN의 세부 분류(출처: Recorded Future)
FORTIS-AS(AS41745)는 관리하는 조직인 "Baykov Ilya Sergeevich"(ORG-HIP1-RIPE)에서 일반적으로 부르는 명칭이며, FIN7과 관련된 활동에 반복적으로 활용되었습니다. Stark Industries Solutions와 연결된 인프라 외에도, FORTIS-AS는 FIN7 작전과 직접 관련된 POWERTRASH 및 DiceLoader와 같은 멀웨어 계열을 배포하는 데 사용되는 인프라를 호스팅했습니다.
GrayAlpha에서 사용하는 넷블록 85[.]209[.]134[.]0/24에 대한 WHOIS 기록에 따르면, 이 블록은 Baykov Ilya Sergeevich(ORG-HIP1-RIPE)에 할당됩니다. 이 엔터티는 인프라 서비스 제공업체(ISP) “hip-hosting”과 밀접하게 연결되어 있으며, fortis[.]host 및 hip-hosting[.]com 같은 도메인을 포함하여 여러 접점과 기술 참조가 기록 전체에 나타납니다(그림 5 참조).
그림 5: Baykov Ilya Sergeevich와 연결된 연락처 세부 정보(출처: Recorded Future)
Insikt Group은 "hip-hosting"이 "Baykov Ilya Sergeevich"(ORG-HIP1-RIPE) 뒤에 있는 ISP라고 높은 확신을 갖고 평가합니다. 이 평가는 WHOIS 기록과 ORG-HIP1-RIPE에 대한 RIPE ORG 객체의 여러 확실한 데이터 포인트에 의해 뒷받침됩니다.
전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.
관련