TransferLoader 맬웨어

보안 연구원들은 RomCom RAT의 배후에 있는 악명 높은 공격자들과 TransferLoader라는 이름의 악성코드 로더 사이의 연관성을 파악하고 있습니다. 스파이 행위와 랜섬웨어 공격으로 특정 기관을 표적으로 삼은 이 캠페인은 정교한 기법과 면밀한 조사가 필요한 중복되는 인프라를 강조합니다.

두 개의 위협 행위자 클러스터: TA829 및 UNK_GreenSec

사이버 보안 연구원들은 TransferLoader 관련 활동을 두 가지 주요 위협 행위자 그룹에 기인한다고 밝혔습니다.

• TA829는 RomCom RAT, CIGAR, Nebulous Mantis, Storm-0978, Tropical Scorpius, UAC-0180, UAT-5647, UNC2596, Void Rabisu 등의 별칭으로도 추적되었습니다.
• UNK_GreenSec은 비슷한 전술과 병행하여 운영되는 덜 알려진 클러스터입니다.

TA829는 특히 간첩 활동과 금전적 동기를 가진 공격을 결합한 하이브리드 작전으로 유명합니다. 러시아와 연계된 이 그룹은 이전에도 모질라 파이어폭스와 마이크로소프트 윈도우의 제로데이 취약점을 악용하여 RomCom RAT를 배포하여 고부가가치 글로벌 기업을 표적으로 삼은 바 있습니다.

TransferLoader: 맬웨어 캠페인에서의 등장과 역할

TransferLoader는 2025년 2월, HellCat 랜섬웨어의 리브랜딩 버전인 Morpheus 랜섬웨어와 관련된 캠페인에서 처음 발견되었습니다. 이 맬웨어는 익명의 미국 로펌을 표적으로 삼았습니다. RomCom과 달리 TransferLoader는 주로 은밀한 배포 메커니즘으로 작동하여 Metasploit 및 Morpheus와 같은 추가 악성 페이로드를 배포합니다.

TransferLoader의 사명은 간단합니다. 감지되지 않고 추가 맬웨어를 전송하는 것입니다.

REM 프록시 인프라 활용

TA829와 UNK_GreenSec은 모두 REM 프록시 서비스에 의존하는데, 이 서비스는 종종 손상된 MikroTik 라우터에서 호스팅됩니다. 이러한 프록시는 악성 트래픽을 라우팅하여 실제 출처를 위장하는 데 사용됩니다. 이들은 이 인프라를 다음과 같은 목적으로 사용합니다.

• 무료 메일 서비스(예: Gmail, ukr.net)를 통해 피싱 이메일을 보냅니다.
• 업스트림 활동을 숨기기 위한 릴레이 트래픽
• 새로 생성된 이메일 계정과 손상된 이메일 계정을 모두 사용하여 캠페인을 시작합니다.

연구원들은 ximajazehox333@gmail.com과 hannahsilva1978@ukr.net과 같은 발신자 주소를 대량 생성하는 이메일 작성 도구가 피싱 배포에 사용되었을 것으로 의심하고 있습니다.

피싱 메커니즘 및 페이로드 전달

두 집단 모두에서 발송된 피싱 메시지에는 이메일 본문이나 PDF 첨부파일에 링크가 포함된 경우가 많습니다. 이러한 링크를 클릭한 피해자는 Rebrandly를 통해 일련의 리디렉션을 거쳐 결국 가짜 Google 드라이브 또는 Microsoft OneDrive 페이지로 이동하게 됩니다. 이러한 리디렉션에는 다음과 같은 메커니즘이 포함됩니다.

• 샌드박스 환경 우회
• 관심 없는 시스템 필터링
• 위협 그룹에 따라 다른 최종 페이로드를 전달합니다.

다양한 공격 경로 :

• UNK_GreenSec은 이 경로를 사용하여 TransferLoader를 배포합니다.
• TA829는 대상을 SlipScreen 맬웨어로 리디렉션합니다.

공유 도구 및 인프라

두 행위자 그룹은 모두 중복되는 툴셋과 인프라 선택을 보여줍니다.

• SSH 터널을 설정하기 위한 PuTTY의 PLINK 유틸리티 사용
• IPFS(InterPlanetary File System) 서비스에 악성 유틸리티 호스팅
• 트래픽 필터링을 위한 동적 PHP 기반 리디렉션 엔드포인트 활용

이러한 공유된 방법은 효과적인 전략의 가능한 조정 또는 상호 채택을 시사합니다.

사회 공학 주제 및 전달 전략

TransferLoader 관련 캠페인은 종종 구인 광고 이메일로 위장하여 PDF 이력서로 연결되는 링크로 피해자를 유인합니다. 하지만 실제로는 해당 링크가 IPFS 웹 공유 사이트에 호스팅된 TransferLoader를 다운로드하도록 유도합니다.

TransferLoader 작업의 주요 기술적 하이라이트

탐지 회피 – 리디렉션, 필터링 및 분산 호스팅을 사용하여 기존 방어 수단을 우회합니다.

페이로드 전달 – 랜섬웨어 및 원격 액세스 도구를 포함한 더 위험한 맬웨어의 로더 역할을 합니다.

차별화된 기술 – 고유한 리디렉션 구조(JavaScript에서 PHP 엔드포인트로)를 사용하여 동적 콘텐츠 전송을 지원합니다.

결론: TransferLoader 위협 이해

TransferLoader는 강력한 공격을 가능하게 하는 은밀한 로더로서 심각한 위협을 나타냅니다. UNK_GreenSec과 TA829의 TransferLoader 사용 사례는 사이버 범죄 조직이 탐지를 피하고 목표를 달성하기 위해 끊임없이 혁신하고, 도구를 공유하고, 분산된 인프라를 악용하는 모습을 보여줍니다.

TransferLoader 위협의 지표는 다음과 같습니다.

• REM 프록시 서비스 사용
• 구직 지원서나 이력서를 언급하는 이메일 유인물
• Rebrandly 링크가 포함된 체인 리디렉션
• IPFS 기반 플랫폼에 호스팅된 페이로드

조직에서는 경계를 늦추지 말고, 강력한 이메일 및 웹 필터링을 구현하고, 이러한 전술과 관련된 비정상적인 네트워크 동작을 지속적으로 모니터링해야 합니다.