SOC Prime Bias: 높음

30 Jun 2026 06:54 UTC

StealC와 Amadey: 정보 탈취기 및 배후 서비스 분석

Author Photo
SOC Prime Team linkedin icon 팔로우
StealC와 Amadey: 정보 탈취기 및 배후 서비스 분석
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

요약

이 보고서는 정보 수집형 서비스 플랫폼인 StealC와 멀웨어 로딩 서비스인 Amadey의 활동을 조사합니다. 사이버 범죄자들은 이러한 도구들을 사용하여 민감한 자격 증명, 세션 쿠키, 그리고 암호화폐 관련 데이터를 수집하며, 이를 통해 랜섬웨어 공격과 같은 후속 작업을 수행할 수 있습니다. 위협 생태계는 기만적인 웹 트래픽, SEO 독소화, 피싱 캠페인에 의존하여 관리되지 않은 장치를 침해합니다.

조사

마이크로소프트의 디지털 범죄 단위(DCU)는 유로폴과 함께 StealC와 Amadey에 연결된 200개 이상의 악성 도메인과 명령 및 제어 IP 주소에 대한 협력적 중단 작전을 수행했습니다. 수사관들은 마이크로소프트 코파일럿을 사용하여 맬웨어 샘플을 분석하고, 내장된 문자열을 복호화하며, 하드코딩된 명령 및 제어 인프라를 발견했습니다. 이 작전은 위협 행위자의 지원 인프라의 상당 부분을 제거하고 중단시키는 결과를 가져왔습니다.

완화

수비자들은 마이크로소프트 디펜더에서 클라우드 전송 보호와 변조 방지를 활성화하여 새롭고 진화하는 변종을 차단하도록 도움을 줄 수 있습니다. 공격 표면 감소 규칙을 적용하면 기만적인 웹 트래픽과 같은 일반적인 감염 경로에 대한 노출을 줄일 수 있습니다. 또한, 조직은 자격 증명 보호와 자격 증명 위생을 강화하여 도난당한 세션 토큰과 손상된 계정의 영향을 줄여야 합니다.

대응

이 활동이 탐지되면, 조직은 도난당한 자격 증명이 횡단 이동에 사용되는 것을 방지하기 위해 우선적으로 자격 증명 보호와 신속한 격리를 실행해야 합니다. 수사관들은 세션 쿠키 절도로 인한 MFA 우회 시나리오를 면밀히 검토해야 합니다. 손상된 엔드포인트는 신속하게 격리되어야 하며, 유효한 사용자 자격 증명과 관련된 비정상적인 활동은 인증 텔레메트리로 모니터링해야 합니다.

"flowchart TD step_initial_access{"초기 액세스: T1189 – 드라이브 바이 타격 & T1674 – 입력 주입 (클릭픽스)"} step_persistence_amadey["지속성: T1037.004 – 예약된 작업 & T1059.003 – 윈도우 명령 셸 (Amadey 로더)"] rules_for_step_persistence_amadey("<b>규칙 이름</b>: 셸 프로세스에 의해 시작된 MsiExec (cmdline 통해)<br/><b>규칙 ID</b>: d59d37c0-fc3c-4374-ba67-318edd591d19") step_credential_harvesting["자격 증명 액세스: T1555.003 – 웹 브라우저의 자격 증명, T1114.002 – 원격 이메일 수집 & T1552.008 – 채팅 메시지 (StealC 정보 수집형)"] step_stealth["방어 회피: T1070.010 – 악성 소프트웨어 이동 (PowerShell 크래들 실행)"] step_exfiltration["유출: T1041 – C2 채널을 통한 유출 (RC4/Base64 데이터 전송)"] step_initial_access –>|leads_to| step_persistence_amadey step_persistence_amadey –>|enables| step_credential_harvesting step_credential_harvesting –>|then| step_stealth step_stealth –>|leads_to| step_exfiltration step_persistence_amadey -.->|detected_by| rules_for_step_persistence_amadey "

공격 흐름

## 시뮬레이션 실행

필수: 텔레메트리 및 기준 프리플라이트 체크가 통과되었어야 합니다.

근거: 이 섹션에서는 탐지 규칙을 유발하도록 설계된 적의 기술 (TTP)의 정확한 실행을 자세히 설명합니다. 명령 및 설명은 식별 된 TTP를 직접 반영해야 하며, 탐지 논리에 기대하는 정확한 텔레메트리를 생성하는 것을 목표로 합니다. 추상적이거나 관련없는 예는 오진을 초래할 것입니다.

  • 공격 내러티브 및 명령: 적은 성공적으로 StealC.exe라는 악성 실행 파일을 드롭했습니다. 간단한 서명 기반 탐지를 피하고 인젝션 루틴을 숨기려고 함으로써, 맬웨어는 필요한 윈도우 API의 이름을 하위 프로세스에 명령행 인수로 전달하여 내부 기능을 호출하도록 설계되었습니다. 이는 명령행 자체에 의도를 수행할 지표가 포함되는 “Living-off-the-Land” 스타일의 접근 방식을 시뮬레이트합니다 CreateProcessA 을 사용하여 CREATE_SUSPENDED 을 진행하고, 다음으로 VirtualAllocEx and WriteProcessMemory 를 사용하여 인젝션을 수행합니다.

  • 회귀 테스트 스크립트:

    # 탐지 규칙을 트리거하기 위해 예상 명령행 문자열을 모방하는 시뮬레이션 스크립트
    # 참고: 이는 문자열의 존재를 시뮬레이트하며, 실제 API 실행은 아님.
    
    $malwareName = "StealC.exe"
    $payloadArgs = "CreateProcessA CREATE_SUSPENDED VirtualAllocEx WriteProcessMemory"
    
    Write-Host "[+] 시뮬레이션 시작: $malwareName을 인젝션 문자열로 실행 중..." -ForegroundColor Cyan
    
    # '이미지' 부분을 만족시키기 위해 StealC.exe라는 더미 파일을 생성합니다
    New-Item -Path ".$malwareName" -ItemType "File" -Force | Out-Null
    
    # 탐지 논리가 요구하는 특정 문자열로 더미 파일을 실행합니다
    # 실제 시나리오에서는 맬웨어가 실행됩니다.
    Start-Process -FilePath ".$malwareName" -ArgumentList $payloadArgs -WindowStyle Hidden
    
    Write-Host "[+] 시뮬레이션 명령 전송됨." -ForegroundColor Green
  • 정리 명령:

    # 정리: 시뮬레이션 중 생성된 더미 맬웨어 파일 제거
    Remove-Item -Path ".StealC.exe" -Force -ErrorAction SilentlyContinue
    Write-Host "[+] 정리 완료: StealC.exe 제거됨." -ForegroundColor Yellow