Cloudflare, Lumma Stealer 방해를 위한 글로벌 작전에 참여
위협 보고서 - 2025년 5월 21일
개요
Cloudflare의 Cloudforce One과 신뢰 및 안전팀은 Lumma Stealer 맬웨어 작전 방해를 위한 합동 대응에 참여했습니다. Lumma Stealer(LummaC2라고도 함)는 광범위한 정보 탈취형 맬웨어의 한 유형으로, 이는 개인과 조직 모두에게 심각한 위협을 초래합니다. 감염된 기기에서 자격 증명, 암호화폐 지갑, 쿠키, 기타 민감한 데이터를 유출함으로써 Lumma는 금융 사기, 신원 도용, 랜섬웨어로 이어질 수 있는 기업 데이터 유출 등 광범위한 하위 범죄 행위를 가능하게 합니다. 이러한 생태계를 교란하는 것은 사용자 보호, 사이버 범죄 경제 약화, 추가 피해 방지에 매우 중요합니다.
Lumma Stealer는 맬웨어 작전을 지원하기 위해 Cloudflare를 비롯한 수많은 서비스 공급자의 인프라를 악용하려고 시도했습니다. Cloudflare Lumma Stealer의 남용을 감지하고 Microsoft가 주도하는 중단 활동에 참여했습니다. 이 작전에는 직접 피해를 입은 기업, 정보 및 기술 지원을 제공하는 기업을 포함한 다른 민간 산업 파트너, 미국 법무부, Europol 산하 유럽 사이버 범죄 센터(EC3), 일본 사이버 범죄 대책 센터(JC3) 등과 Microsoft가 협력해 진행되었습니다.
핵심 요약
Lumma Stealer는 범죄자들이 관리 창에 대한 접근을 임대하여 훔친 데이터를 검색하고, 전 세계 피해자들에게 배포할 악의적인 맞춤형 페이로드를 생성할 수 있는 서비스형 맬웨어 제품입니다.
대부분의 다른 정보 도용 맬웨어와 마찬가지로, Lumma Stealer는 표적이 된 사용자가 맬웨어를 다운로드하고 실행하도록 유도하는 방식인 소셜 엔지니어링 캠페인을 통해 유포됩니다.
Lumma Stealer 중단 활동은 Lumma 운영자가 제어판, 도난당한 데이터의 Marketplace, 해당 데이터의 수집 및 관리를 용이하게 하기 위해 사용되는 인터넷 인프라에 대한 액세스를 차단합니다. 이러한 조치로 인해 Lumma 운영자와 고객 모두 운영 및 재정적 비용을 부담하게 되었으며, 대체 인프라에서 서비스를 재구축해야 하는 상황에 처했습니다.
Lumma Stealer란?
Lumma Stealer는 2023년 2월 러시아어 범죄 포럼인 Exploit과 XSS에 처음 게시된 것으로 관찰되었습니다. 현재 Lumma의 사업은 대부분 Telegram에서 이루어지고 있으며, 범죄자들은 다양한 암호화폐를 사용하여 관리자 패널에 대한 접근권을 구매할 수 있습니다. 아래에 보이는 Lumma의 최초 판매 글은 범죄 포럼에 게시되었고, 현재 중단 활동 전 오랜 기간 동안 오프라인 상태였던 웹 사이트와 연결되어 있었습니다.
Exploit 회원 Shamel이 최초로 LummaC2 판매 글을 게시했습니다
Lumma 운영자가 수집한 도난된 자격 증명은 “로그(logs)”라고 하며, Lumma 자체 Marketplace에 파싱 및 색인되어 등록되었습니다. 범죄자들은 암호화폐로 크레딧을 구매해 이 마켓에서 수익성 높은 자격 증명을 검색할 수 있었습니다. Lumma의 로그는 다른 범죄자들에 의해서도 수집되어, 이들은 자신들이 수집한 로그의 접근권을 Telegram에서 판매했습니다.
Lumma Market 웹 사이트에서 사용자는 도난당한 자격 증명을 검색하고 구매할 수 있습니다
감염 방식
최근 인포스틸러 캠페인은 취약점 악용보다는 소셜 엔지니어링 기법에 기반하는 경우가 많습니다. Microsoft와 기타 보안 연구진은 ClickFix로 알려진 기법을 문서화한 바 있습니다. 이 방식에서는, 사용자가 감염된 웹 사이트에 방문하거나 악성 광고를 접할 때, 컴퓨터에 긴급한 문제가 발생했다는 경고와 함께 허위 모달 팝업이 나타납니다. 이 팝업��은 사용자가 특정 키보드 단축키를 실행하도록 유도하며, 그 결과 원격 PowerShell 스크립트가 실행되어 LummaC2와 같은 페이로드를 다운로드 및 실행하게 됩니다.
Lumma의 페이로드는 주로 PPI(Pay-Per-Install) 네트워크나 또는 서비스형 설치를 제공하는 트래픽 판매자를 통해 확산됩니다. 가격은 설치 위치와 대상 장치가 모바일인지 데스크톱인지에 따라 결정됩니다. Lumma를 비롯한 다수의 인포스틸러는 인기 있는 상업용 소프트웨어의 크랙 버전과 함께 배포되는 경우가 많으며, 정품 라이선스 비용을 지불하지 않으려는 사용자를 표적으로 삼습니다. 더욱 우려스러운 점은, LummaC2 운영자가 주요 백신 솔루션의 감지를 회피하기 위해 맬웨어의 은닉성을 강화하는 데 많은 노력을 기울이고 있다는 것입니다.
Lumma Stealer 활동 완화
Lumma Stealer는 빠르게 진화하는 인포스틸러로, 악성 광고, 피싱, 손상된 소프트웨어 등을 통해 주로 유포되기 때문에 이를 적절하게 방어하려면 다층적인 보안 접근 방식이 필요합니다. 신규 등록 도메인(NRD)은 LummaC2에서 광범위하게 사용되는 일반적인 전술이므로, 엔터프라이즈 보안 담당자는 신규 등록 도메인에 대한 접근을 신중히 제한해야 합니다. 기업 외부의 사용자는 PowerShell 및 기타 스크립트의 실행이 필요하지 않은 경우 이를 제한하거나 방지하는 것을 고려할 수 있습니다. 엔터프라이즈 보안 담당자는 다음과 같은 사항도 함께 고려해야 합니다.
엔드포인트 보호 및 강�화
사용자가 신뢰할 수 없는 웹 사이트에서 실행 파일을 다운로드하는 것을 허용하지 않음
인터넷에서 다운로드했거나, 서명이 없거나, 정책상 명시적으로 허용되지 않은 스크립트 또는 Microsoft Office 매크로를 사용자가 다운로드하거나 실행하는 것을 허용하지 않음
자격 증명 스크래핑이나 무단 파일 액세스 등 의심스러운 행위를 감지할 수 있는 신뢰할 수 있는 엔드포인트 감지 및 대응(EDR) 도구를 사용함
알 수 없는 실행 파일(다운로드한 페이로드 포함)의 실행을 방지하기 위해 애플리케이션 허용 목록을 적용함
관리자가 아닌 사용자에 대해 PowerShell을 비활성화하거나, 제한된 언어 모드를 사용하여 남용 위험을 줄임
브라우저 및 자격 증명 위생
브라우저에 비밀번호를 저장하지 말고 전용 비밀번호 관리자를 사용함
자동 완성 데이터 �및 브라우저 캐시를 정기적으로 삭제함
이름, 전화번호, 주소 등 민감한 정보에 대해 자동 완성 기능을 비활성화함. 특히 기업용 장치에서 이를 준수할 것
정기적인 패치 및 업데이트
브라우저, 운영 체제, 모든 소프트웨어를 최신 상태로 유지하여 알려진 취약점을 통한 악용 가능성을 줄임
DNS 및 네트워크 필터링
신뢰할 수 있는 DNS 필터링과 위협 인텔리전스 기반 차단 목록을 활용해, NRD, 알려진 C2 서버, 맬웨어 배포 도메인, 데이터 유출에 활용되는 Telegram API 등으로의 연결을 차단함
이메일 및 웹 필터링
이메일 게이트웨이에 악성 첨부파일 및 링크 감지 기능 도입
악성 광고를 통한 드라이브 바이 다운로드 위험을 줄이기 위해 브라우저 격리 또는 샌드박싱 적용
사용자 교육
악성 광고, 가짜 소프트웨어 설치 프로그램, ClickFix와 같은 브라우저 스케어웨어 전술과 같은 일반적인 전달 메커니즘에 대해 사용자를 교육함
사용자에게 PowerShell 스크립트를 실행하거나, 컴퓨터 문제 "해결"을 지시하는 팝업을 클릭하지 않도록 경고함
감지 및 위협 사냥
비정상적인 아웃바운드 연결(특히 Telegram 또는 희귀 도메인) 여부를 모니터링함
브라우저를 통한 무단 자격 증명 액세스를 모니터링함
PowerShell 또는 프로세스 스포닝(explorer.exe에서 powershell.exe 실행 등)과 같은 의심스러운 활동을 모니터링함
Lumma Stealer 대응 조율
Cloudflare의 서비스는 DDoS 및 기타 공격으로부터 고객의 인터넷 자산을 보호합니다. Cloudflare가 이러한 보호를 제공하기 위해, Cloudflare 고객의 원본 IP 주소가 웹 사이트 방문자에게 반드시 표시되지는 않습니다. Lumma Stealer는 Cloudflare 인프라�의 이 기능을 악용하여, 맬웨어로 탈취한 파일과 자격 증명을 수집하는 범죄자가 사용하는 서버의 원본 IP 주소를 숨겼습니다. Cloudflare의 신뢰 및 안전팀은 범죄자들이 사용하는 도메인을 반복적으로 식별하고 계정을 정지시켰습니다. 2025년 2월에는 Lumma 맬웨어가 Cloudflare의 중간 경고 페이지를 우회하는 것이 관찰되었습니다. 이 경고 페이지는 Cloudflare가 악성 행위자를 방해하기 위해 사용하는 대응책 중 하나입니다. 이에 대응하여 Cloudflare는 중간 경고 페이지에 Turnstile 서비스를 추가해, 맬웨어가 이를 우회할 수 없도록 조치했습니다.
이제 Cloudflare 중간 경고 페이지에는 Turnstile 인증이 적용되어 있습니다
Cloudflare는 악성 행위자의 명령 및 제어 서버 도메인과 Lumma의 Marketplace 도메인 앞에 Turnstile이 적용된 새로운 중간 경고 페이지를 배치하고, 해당 도메인을 구성하는 데 사용된 계정에 대한 조치도 함께 진행했습니다. 일반적으로 범죄 행위자가 Cloudflare의 네임서버만 악용하고 Cloudflare의 등록기관 서비스를 사용하지 않은 경우, 등록기관에서 Start of Authority(권한 시작)를 변경함으로써 도메인에 대한 제어권을 복구할 수 있습니다 Microsoft는 범죄자들이 이름 서버를 변경하여 제어를 복구하지 못하도록 여러 관련 레지스트리와 협력하��여 Lumma의 도메인을 제거했습니다.
Lumma Stealer의 지표 목록과 실행 가능한 추가 인사이트를 확인하는 방법을 자세히 알아보려면, Cloudforce One 고객을 위한 Cloudflare 위협 이벤트 플랫폼을 참조하세요.
