가짜 암호화폐 판매자 배후의 네트워크 발견: 130개 악성 도메인에 대한 심층 분석

위협 연구원 Dancho Danchev는 최근 가짜 암호화폐 판매자에게 속한 것으로 보이는 도메인 130개를 발견했습니다. WhoisXML API 연구팀은 다음을 추구했습니다.

Recently, threat researcher Dancho Danchev uncovered 130 domains that seemingly belong to fake cryptocurrency sellers. The WhoisXML API research team sought to find potential connections to the threat by expanding the current list of indicators of compromise (IoCs) using our vast array of DNS intelligence sources.

최근 위협 연구원 Dancho Danchev는 가짜 암호화폐 판매자의 것으로 보이는 도메인 130개를 발견했습니다. WhoisXML API 연구팀은 광범위한 DNS 인텔리전스 소스를 사용하여 현재 IoC(손상 표시기) 목록을 확장하여 위협과의 잠재적 연관성을 찾으려고 했습니다.

Our in-depth investigation led to the discovery of:

우리의 심층 조사 결과는 다음과 같습니다.

A sample of the additional artifacts obtained from our analysis is available for download from our website.

분석을 통해 얻은 추가 아티팩트 샘플은 당사 웹사이트에서 다운로드할 수 있습니다.

More IoC Facts

추가 IoC 사실

To learn more about the 130 domain names tagged as IoCs, we performed a bulk WHOIS lookup, which revealed that:

IoC로 태그된 130개 도메인 이름에 대해 자세히 알아보기 위해 대량 WHOIS 조회를 수행한 결과 다음과 같은 내용이 밝혀졌습니다.

The actors behind the malicious fake cryptocurrency-selling campaigns used both old and new domain names. The oldest domain IoC was created in 2014, while the newest two domains were created in 2024. Eighteen domains were created in 2023; seven in 2021; six each in 2019, 2020, and 2022; two in 2024; and one each in 2014 and 2016. Finally, 83 domain IoCs did not have creation dates in their current WHOIS records.

악의적인 가짜 암호화폐 판매 캠페인의 배후에 있는 행위자는 기존 도메인 이름과 새 도메인 이름을 모두 사용했습니다. 가장 오래된 도메인 IoC는 2014년에 생성되었으며, 가장 최근의 두 도메인은 2024년에 생성되었습니다. 2023년에 18개의 도메인이 생성되었습니다. 2021년에는 7개; 2019년, 2020년, 2022년에 각각 6개; 2024년에 2개; 2014년과 2016년에 각각 하나씩. 마지막으로 83개의 도메인 IoC는 현재 WHOIS 기록에 생성 날짜가 없습니다.

The domain IoCs were spread across 11 countries topped by the U.S., which accounted for 28 domains. Four domains were registered in Iceland. Austria, China, and the U.K. accounted for two domain IoCs each. One domain each was registered in Cyprus, Denmark, Germany, Kazakhstan, Switzerland, and Turkey. Finally, 86 domain IoCs did not have registrant countries in their current WHOIS records.

도메인 IoC는 11개 국가에 분산되어 있으며 그 중 미국이 28개 도메인을 차지합니다. 아이슬란드에는 4개의 도메인이 등록되었습니다. 오스트리아, 중국, 영국은 각각 2개의 도메인 IoC를 차지했습니다. 키프로스, 덴마크, 독일, 카자흐스탄, 스위스, 터키에 각각 도메인 1개가 등록되었습니다. 마지막으로 86개 도메인 IoC의 현재 WHOIS 기록에는 등록 국가가 없습니다.

IoC DNS Footprints

IoC DNS 공간

To uncover other artifacts potentially connected to the fake cryptocurrency-selling campaigns, we first performed WHOIS History API queries for the 130 domains tagged as IoCs. Their historical WHOIS records contained 336 email addresses after duplicates were removed, 57 of which were public.

가짜 암호화폐 판매 캠페인과 잠재적으로 연결되어 있는 다른 아티팩트를 발견하기 위해 먼저 IoC로 태그가 지정된 130개 도메인에 대해 WHOIS History API 쿼리를 수행했습니다. 과거 WHOIS 기록에는 중복 항목이 제거된 후 336개의 이메일 주소가 포함되어 있었으며 그 중 57개가 공개되었습니다.

We then used the 57 public email addresses as reverse WHOIS API search terms and found 522 email-connected domains after duplicates and the IoCs were filtered out. Twenty-one of the email-connected domains were associated with 1—2 threats according to Threat Intelligence API. Take a look at five examples below.

그런 다음 57개의 공개 이메일 주소를 역 WHOIS API 검색어로 사용했고 중복 후 522개의 이메일 연결 도메인을 찾았고 IoC가 필터링되었습니다. Threat Intelligence API에 따르면 이메일에 연결된 도메인 중 21개가 1~2개의 위협과 연관되어 있었습니다. 아래에서 다섯 가지 예를 살펴보세요.

Next, DNS lookups for the 130 domains tagged as IoCs revealed that 91 of them did not actively resolve to any IP address. The remaining 39 domain IoCs, meanwhile, resolved to 41 IP addresses after duplicates were removed. Threat Intelligence Lookup showed that 39 of them were associated with various threats. Take a look at five examples below.

다음으로, IoC로 태그가 지정된 130개 도메인에 대한 DNS 조회를 통해 그 중 91개가 IP 주소로 적극적으로 확인되지 않은 것으로 나타났습니다. 한편 나머지 39개의 도메인 IoC는 중복이 제거된 후 41개의 IP 주소로 확인되었습니다. 위협 인텔리전스 조회를 통해 그 중 39개가 다양한 위협과 연관되어 있는 것으로 나타났습니다. 아래에서 다섯 가지 예를 살펴보세요.

A bulk IP geolocation lookup for the 41 IP addresses showed that:

41개 IP 주소에 대한 대량 IP 지리적 위치 조회 결과는 다음과 같습니다.

They were also spread across 12 ISPs topped by Amazon, which accounted for 22 IP address IoCs. Automattic, Cloudflare, and Namecheap tied in second place with two IP IoCs each. One IP address IoC each was administered by Confluence Networks, GigeNET, Hong KongMegalayer Technology Co., Hostinger International, http.net Internet GmbH, LeaseWeb U.S.A., UCloud Information Technology (HK) Limited, and World4You Internet Services GmbH. Finally, five IP addresses did not have ISPs in their A records.

또한 이는 22개의 IP 주소 IoC를 차지하는 Amazon을 비롯한 12개의 ISP에 분산되어 있습니다. Automattic, Cloudflare 및 Namecheap은 각각 2개의 IP IoC로 공동 2위를 차지했습니다. 각각 하나의 IP 주소 IoC는 Confluence Networks, GigeNET, Hong KongMegalayer Technology Co., Hostinger International, http.net Internet GmbH, LeaseWeb USA, UCloud Information Technology (HK) Limited 및 World4You Internet Services GmbH에서 관리했습니다. 마지막으로 5개의 IP 주소에는 A 레코드에 ISP가 없습니다.

We also subjected the 41 IP addresses to reverse IP lookups and found that only two of them could be dedicated. Altogether, they hosted 259 domains after duplicates, the IoCs, and the email-connected domains were filtered out.

또한 41개의 IP 주소에 대해 역방향 IP 조회를 실시한 결과 그중 2개만 전용으로 사용할 수 있다는 사실을 발견했습니다. 중복, IoC 및 이메일 연결 도메인이 필터링된 후 전체적으로 259개의 도메인을 호스팅했습니다.

To cover all bases, we looked for domains that started with the same text strings as the IoCs. They only used different topTLD extensions. Eighty-four text strings also appeared in 1,947 string-connected domains. They were:

모든 기반을 포괄하기 위해 우리는 IoC와 동일한 텍스트 문자열로 시작하는 도메인을 찾았습니다. 그들은 다른 topTLD 확장만 사용했습니다. 84개의 텍스트 문자열도 1,947개의 문자열 연결 도메인에 나타났습니다. 그들은:

Threat Intelligence API found that 15 of them were associated with various threats. Take a look at five examples below.

Threat Intelligence API는 그 중 15개가 다양한 위협과 연관되어 있음을 발견했습니다. 아래에서 다섯 가지 예를 살펴보세요.

Our DNS deep dive into the fake cryptocurrency-selling campaigns led to the discovery of 2,769 potentially connected artifacts. Many of them, 75 to be exact, seem to have already been weaponized. As cryptocurrency usage becomes more popular, we are bound to see more threats targeting them, making staying ahead of the curve critical.

가짜 암호화폐 판매 캠페인에 대한 DNS 심층 분석을 통해 잠재적으로 연결된 2,769개의 아티팩트를 발견했습니다. 이들 중 상당수(정확히 75개)는 이미 무기화된 것 같습니다. 암호화폐 사용이 대중화됨에 따라 이를 표적으로 삼는 위협도 더 많아지게 되므로 앞서가는 것이 중요해졌습니다.

Download a sample of the threat research materials now or contact sales to discuss your intelligence needs for threat detection and response or other cybersecurity use cases.

지금 위협 연구 자료 샘플을 다운로드하거나 영업팀에 문의하여 위협 탐지 및 대응 또는 기타 사이버 보안 사용 사례에 대한 인텔리전스 요구 사항에 대해 논의하세요.