{
	"id": "2c197c05-8770-49c9-a842-44fa0c5df961",
	"created_at": "2026-04-06T00:21:44.768031Z",
	"updated_at": "2026-04-10T13:11:49.864961Z",
	"deleted_at": null,
	"sha1_hash": "ba643f3a374f019aac76e476898af8f1338d8782",
	"title": "신종 정보 탈취 악성코드 “ColdStealer” 유포 중 - ASEC",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1351230,
	"plain_text": "신종 정보 탈취 악성코드 “ColdStealer” 유포 중 - ASEC\r\nBy ATCP\r\nPublished: 2022-02-21 · Archived: 2026-04-05 18:56:50 UTC\r\nASEC 분석팀은 신종 악성코드로 추정되는 ColdStealer가 유포 중임을 확인하였다. 해당 유포는 기존 블로\r\n그에서 수차례 언급하였던 크랙 및 툴 등의 S/W 다운로드로 위장한 방식이다.\r\n이러한 방식의 악성코드 유포에는 두 가지 케이스가 존재하는데\r\n1. CryptBot, RedLine 등의 단일 악성코드를 유포하는 케이스와,\r\n2. 내부 다양한 여러 악성코드가 압축 해제되어 실행되는 드로퍼형 악성코드이다.\r\nColdStealer의 경우 후자의 방식으로 유포되었다. 이러한 악성코드 유포 케이스는 아래 블로그를 참고하길\r\n바란다.\r\nS/W 다운로드 위장, 다양한 종류의 악성코드 유포\r\n드로퍼 악성코드 내부에 다운로더 악성코드가 존재하고, 해당 다운로더 악성코드가 실행될 경우 C2로부\r\n터 ColdStealer 악성코드를 다운로드한다. 이 과정을 그림으로 나타내면 다음과 같다.\r\nhttps://asec.ahnlab.com/ko/31703/\r\nPage 1 of 7\n\n그림1. ColdStealer 감염 과정\r\nColdStealer는 여러 겹 패킹되어 있는 구조이다. 현재는 .NET 난독화 방식의 패킹 기법을 사용하지만, 초기\r\n에는 프로세스 할로잉과 .NET 로드 방식의 패킹을 사용하여 빌드된 원본 그대로의 ColdStealer를 확보할\r\n수 있었다.\r\nColdStealer는 이름에서 알 수 있듯이 정보탈취 유형의 악성코드로, 여러 사용자 정보를 수집하여 C2로 전\r\n송하는 기능의 단순한 악성코드이다. .NET으로 구성되어 있으며 기능이 단순하여 실제 악성코드의 용량\r\n은 80KB에 불과하다. 원본 소스가 빌드된것으로 추정되는 샘플의 네임스페이스가 “ColdStealer” 이기 때\r\n문에 해당 이름으로 명명하였다.\r\n그림2. ColdStealer\r\n탈취 대상 정보 수집 시 파일 형태가 아닌, 메모리상에 ZIP 구조로 저장하는데 이 같은 기능을 구현하기 위\r\n해 GitHub에 공개된 소스코드를 사용하였다. 정보 수집행위를 마친 후 C2 전송 시 해당 메모리 스트림을\r\n전송한다. 이러한 방식을 사용할 경우 파일 흔적이 남지 않아 관련 탐지를 회피할 수 있고 실행 흔적을 남\r\n기지 않을 수 있다.\r\nhttps://asec.ahnlab.com/ko/31703/\r\nPage 2 of 7\n\n그림3. 정보 수집시 ZIP 스트림 사용\r\n해당 악성코드의 기능은 크게 6가지 이다.\r\n브라우저 정보 탈취\r\n암호회폐 지갑 정보 탈취\r\n파일 탈취\r\nFTP 서버 정보 탈취\r\n시스템 정보 탈취\r\n예외(에러) 정보 전송\r\n브라우저 정보 탈취\r\n탈취 대상 브라우저는 Chrominum 기반 다수의 브라우저와 Opera, FireFox이다. Chrominum 기반 브라우저\r\n중 탈취 대상이 되는 브라우저의 목록은 다음과 같다.\r\nBattle.net, Chromium, Google Chrome, Google Chrome (x86), MapleStudio ChromePlus, Iridium,\r\n7Star, CentBrowser, Chedot, Vivaldi, Kometa, Elements, Epic, uCozMedia Uran, Sleipnir5, Citrio,\r\nCoowon, Liebao, QIP Surf, Orbitum, Comodo Dragon, Amigo, Torch, Yandex Browser, Comodo,\r\n360Browser, Maxthon3, K-Melon, Sputnik, Nichrome, CocCoc, Uran, Chromodo, Atom,\r\nBraveSoftware, Microsoft Edge, Nvidia, Steam, CryptoTab\r\n표1. 탈취 브라우저 목록 (Chrominum 기반)\r\n그림4. Chrominum 브라우저 정보 수집 코드\r\n최신 버전의 브라우저까지 지원 가능하도록 코드가 구성되어있다. 브라우저에 저장된 ID와 PW, 쿠키, 웹\r\n데이터 파일을 수집하며 확장 프로그램을 조회하여 리스트에 존재하는 확장 프로그램 파일 또한 수집 대\r\nhttps://asec.ahnlab.com/ko/31703/\r\nPage 3 of 7\n\n상이 된다. 해당 리스트는 가상 화폐 지갑 또는 사용자 인증과 관련된 민감한 프로그램으로 확인된다.\r\nMetamask, YoroiWallet, Tronlink, NiftyWallet, MathWallet, Coinbase, BinanceChain, BraveWallet,\r\nGuardaWallet, EqualWallet, JaxxLiberty, BitAppWallet, iWallet, Wombat, AtomicWallet, MewCx,\r\nGuildWallet, SaturnWallet, RoninWallet, PhantomWallet, Arweave, Auro, Celo, Clover, Coin98,\r\nCrypto.com, Cyano, Cyano PRO, Dune, Fractal, Gero, Harmony, Hiro, Iconex, Kardia Chain,\r\nKeplr, KHC, Lamden, Liquality, Maiar, Mew CEX, Mobox, NeoLine, Nami, Oasis, Polymesh,\r\nRabby, Solflare, Sollet, Solong, Temple, Terra Station, TezBox, Theta, XDeFi, ZebeDee,\r\nAuthenticator CC\r\n표2. 브라우저 확장 프로그램 수집 목록\r\n브라우저 정보는 파일 전체를 탈취하는 것이 아니라 악성코드 내부에서 해당 파일에 대한 파싱을 진행후\r\n필요한 정보만을 전송하도록 구성되어있다. 하지만 이 과정에서 Unicode 인코딩을 고려하지 않아 한국어\r\n환경의 윈도우에서는 브라우저 관련 정보가 담긴 파일(SQLite 포멧)을 파싱할 때 오류가 발생한다.\r\n그림5. SQLite 파싱 오류\r\n파싱에 성공할 경우 브라우저 접속 기록은 “Domain.txt” 파일에, 계정 및 패스워드는 “Passwords.txt” 파일\r\n에 각각 나누어 저장한다.\r\n그림6. 수집된 브라우저 패스워드 (예시)\r\n파일 탈취\r\n파일 수집은 바탕화면과 사용자 계정 디렉토리 하위에 존재하는 파일을 대상으로 한다. “wallet” 문자열을\r\n포함하거나 .txt, .dat 확장자의 파일을 모두 수집한다.\r\n그림7. 파일 수집 코드\r\nFTP 서버 정보 탈취\r\n대표적인 FTP 프로그램인 FileZilla에 저장된 서버와 패스워드 목록을 수집한다.\r\nhttps://asec.ahnlab.com/ko/31703/\r\nPage 4 of 7\n\n그림8. FTP 서버 정보 수집 코드\r\n시스템 정보 탈취\r\n윈도우 버전, 사용 언어, CPU 종류, 클립보드 데이터, 실행 권한 등 다양한 시스템 정보를 수집한다.\r\n그림9. 시스템 정보 수집 코드\r\n암호화폐 지갑 정보 탈취\r\nRoaming 디렉토리, Local 디렉토리, 레지스트리 등에 저장되는 지갑 프로그램 정보를 수집한다.\r\nZCash, Armory, Bytecoin, JaxxClassic, JaxxLiberty, Exodus, Ethereum, Electrum, Electrum-LTC,\r\nElectrum-BCH, Atomic, Guarda, Wasabi, Daedalus, Coinomi, Litecoin,, Dash,, Bitcoin, monero-core, Binance\r\n표3. 수집 대상 지갑 프로그램\r\n오류 정보 수집 및 전송\r\n프로그램 실행 중 발생한 모든 오류(예외)에 대한 정보를 기록하여 전송한다. 한국어 환경에서의 SQLite\r\n파싱 오류도 기록되어 전송되기 때문에 곧 패치된 버전이 유포될 가능성이 있다.\r\n그림10. 에러 수집 코드\r\nhttps://asec.ahnlab.com/ko/31703/\r\nPage 5 of 7\n\n위와 같은 정보 수집 과정이 완료되면 수집된 정보들을 모두 C2로 전송한다. 전송 URL 즉 C2 주소는 특정\r\n위치에 하드코딩 되어있다. HTTP POST 메소드를 사용한다.\r\n그림11. C2 주소\r\n이처럼 ColdStealer는 매우 간단한 형태의 정보 탈취 악성코드지만 감염 시 사용자의 주요 정보가 공격자\r\n에게 유출되어 심각한 2차 피해가 발생할 수 있기 때문에 주의가 필요하다.\r\nMD5\r\n01144efd1dc06a0b9d3ea8a1e632dc26\r\n03c3f6369b934cf86576c394e9172359\r\n05748b4e8730bb2a705fe1e2e00c5d77\r\n05c97434f3c6970103a3ceda97572481\r\n0b3b4b02ed9d4844ec53a3f2a7064432\r\n추가 IoC는 ATIP에서 제공됩니다.\r\nURL\r\nhttp[:]//enter-me[.]xyz/\r\nhttp[:]//jordanserver232[.]com/\r\nhttp[:]//real-enter-solutions[.]xyz/\r\nhttp[:]//realacademicmediausa[.]com/\r\nhttp[:]//realmoneycreate[.]xyz/\r\n추가 IoC는 ATIP에서 제공됩니다.\r\nAhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용\r\n은 아래 배너를 클릭하여 확인해보세요.\r\nhttps://asec.ahnlab.com/ko/31703/\r\nPage 6 of 7\n\nSource: https://asec.ahnlab.com/ko/31703/\r\nhttps://asec.ahnlab.com/ko/31703/\r\nPage 7 of 7",
	"extraction_quality": 1,
	"language": "KO",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://asec.ahnlab.com/ko/31703/"
	],
	"report_names": [
		"31703"
	],
	"threat_actors": [
		{
			"id": "0661a292-80f3-420b-9951-a50e03c831c0",
			"created_at": "2023-01-06T13:46:38.928796Z",
			"updated_at": "2026-04-10T02:00:03.148052Z",
			"deleted_at": null,
			"main_name": "IRIDIUM",
			"aliases": [],
			"source_name": "MISPGALAXY:IRIDIUM",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "9f101d9c-05ea-48b9-b6f1-168cd6d06d12",
			"created_at": "2023-01-06T13:46:39.396409Z",
			"updated_at": "2026-04-10T02:00:03.312816Z",
			"deleted_at": null,
			"main_name": "Earth Lusca",
			"aliases": [
				"CHROMIUM",
				"ControlX",
				"TAG-22",
				"BRONZE UNIVERSITY",
				"AQUATIC PANDA",
				"RedHotel",
				"Charcoal Typhoon",
				"Red Scylla",
				"Red Dev 10",
				"BountyGlad"
			],
			"source_name": "MISPGALAXY:Earth Lusca",
			"tools": [
				"RouterGod",
				"SprySOCKS",
				"ShadowPad",
				"POISONPLUG",
				"Barlaiy",
				"Spyder",
				"FunnySwitch"
			],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "8941e146-3e7f-4b4e-9b66-c2da052ee6df",
			"created_at": "2023-01-06T13:46:38.402513Z",
			"updated_at": "2026-04-10T02:00:02.959797Z",
			"deleted_at": null,
			"main_name": "Sandworm",
			"aliases": [
				"IRIDIUM",
				"Blue Echidna",
				"VOODOO BEAR",
				"FROZENBARENTS",
				"UAC-0113",
				"Seashell Blizzard",
				"UAC-0082",
				"APT44",
				"Quedagh",
				"TEMP.Noble",
				"IRON VIKING",
				"G0034",
				"ELECTRUM",
				"TeleBots"
			],
			"source_name": "MISPGALAXY:Sandworm",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "7bd810cb-d674-4763-86eb-2cc182d24ea0",
			"created_at": "2022-10-25T16:07:24.1537Z",
			"updated_at": "2026-04-10T02:00:04.883793Z",
			"deleted_at": null,
			"main_name": "Sandworm Team",
			"aliases": [
				"APT 44",
				"ATK 14",
				"BE2",
				"Blue Echidna",
				"CTG-7263",
				"FROZENBARENTS",
				"G0034",
				"Grey Tornado",
				"IRIDIUM",
				"Iron Viking",
				"Quedagh",
				"Razing Ursa",
				"Sandworm",
				"Sandworm Team",
				"Seashell Blizzard",
				"TEMP.Noble",
				"UAC-0082",
				"UAC-0113",
				"UAC-0125",
				"UAC-0133",
				"Voodoo Bear"
			],
			"source_name": "ETDA:Sandworm Team",
			"tools": [
				"AWFULSHRED",
				"ArguePatch",
				"BIASBOAT",
				"Black Energy",
				"BlackEnergy",
				"CaddyWiper",
				"Colibri Loader",
				"Cyclops Blink",
				"CyclopsBlink",
				"DCRat",
				"DarkCrystal RAT",
				"Fobushell",
				"GOSSIPFLOW",
				"Gcat",
				"IcyWell",
				"Industroyer2",
				"JaguarBlade",
				"JuicyPotato",
				"Kapeka",
				"KillDisk.NCX",
				"LOADGRIP",
				"LOLBAS",
				"LOLBins",
				"Living off the Land",
				"ORCSHRED",
				"P.A.S.",
				"PassKillDisk",
				"Pitvotnacci",
				"PsList",
				"QUEUESEED",
				"RansomBoggs",
				"RottenPotato",
				"SOLOSHRED",
				"SwiftSlicer",
				"VPNFilter",
				"Warzone",
				"Warzone RAT",
				"Weevly"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "75455540-2f6e-467c-9225-8fe670e50c47",
			"created_at": "2022-10-25T16:07:23.740266Z",
			"updated_at": "2026-04-10T02:00:04.732992Z",
			"deleted_at": null,
			"main_name": "Iridium",
			"aliases": [],
			"source_name": "ETDA:Iridium",
			"tools": [
				"CHINACHOPPER",
				"China Chopper",
				"LazyCat",
				"Powerkatz",
				"SinoChopper",
				"reGeorg"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "3a0be4ff-9074-4efd-98e4-47c6a62b14ad",
			"created_at": "2022-10-25T16:07:23.590051Z",
			"updated_at": "2026-04-10T02:00:04.679488Z",
			"deleted_at": null,
			"main_name": "Energetic Bear",
			"aliases": [
				"ATK 6",
				"Blue Kraken",
				"Crouching Yeti",
				"Dragonfly",
				"Electrum",
				"Energetic Bear",
				"G0035",
				"Ghost Blizzard",
				"Group 24",
				"ITG15",
				"Iron Liberty",
				"Koala Team",
				"TG-4192"
			],
			"source_name": "ETDA:Energetic Bear",
			"tools": [
				"Backdoor.Oldrea",
				"CRASHOVERRIDE",
				"Commix",
				"CrackMapExec",
				"CrashOverride",
				"Dirsearch",
				"Dorshel",
				"Fertger",
				"Fuerboos",
				"Goodor",
				"Havex",
				"Havex RAT",
				"Hello EK",
				"Heriplor",
				"Impacket",
				"Industroyer",
				"Karagany",
				"Karagny",
				"LightsOut 2.0",
				"LightsOut EK",
				"Listrix",
				"Oldrea",
				"PEACEPIPE",
				"PHPMailer",
				"PsExec",
				"SMBTrap",
				"Subbrute",
				"Sublist3r",
				"Sysmain",
				"Trojan.Karagany",
				"WSO",
				"Webshell by Orb",
				"Win32/Industroyer",
				"Wpscan",
				"nmap",
				"sqlmap",
				"xFrost"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "a66438a8-ebf6-4397-9ad5-ed07f93330aa",
			"created_at": "2022-10-25T16:47:55.919702Z",
			"updated_at": "2026-04-10T02:00:03.618194Z",
			"deleted_at": null,
			"main_name": "IRON VIKING",
			"aliases": [
				"APT44 ",
				"ATK14 ",
				"BlackEnergy Group",
				"Blue Echidna ",
				"CTG-7263 ",
				"ELECTRUM ",
				"FROZENBARENTS ",
				"Hades/OlympicDestroyer ",
				"IRIDIUM ",
				"Qudedagh ",
				"Sandworm Team ",
				"Seashell Blizzard ",
				"TEMP.Noble ",
				"Telebots ",
				"Voodoo Bear "
			],
			"source_name": "Secureworks:IRON VIKING",
			"tools": [
				"BadRabbit",
				"BlackEnergy",
				"GCat",
				"NotPetya",
				"PSCrypt",
				"TeleBot",
				"TeleDoor",
				"xData"
			],
			"source_id": "Secureworks",
			"reports": null
		},
		{
			"id": "18a7b52d-a1cd-43a3-8982-7324e3e676b7",
			"created_at": "2025-08-07T02:03:24.688416Z",
			"updated_at": "2026-04-10T02:00:03.734754Z",
			"deleted_at": null,
			"main_name": "BRONZE UNIVERSITY",
			"aliases": [
				"Aquatic Panda",
				"Aquatic Panda ",
				"CHROMIUM",
				"CHROMIUM ",
				"Charcoal Typhoon",
				"Charcoal Typhoon ",
				"Earth Lusca",
				"Earth Lusca ",
				"FISHMONGER ",
				"Red Dev 10",
				"Red Dev 10 ",
				"Red Scylla",
				"Red Scylla ",
				"RedHotel",
				"RedHotel ",
				"Tag-22",
				"Tag-22 "
			],
			"source_name": "Secureworks:BRONZE UNIVERSITY",
			"tools": [
				"Cobalt Strike",
				"Fishmaster",
				"FunnySwitch",
				"Spyder",
				"njRAT"
			],
			"source_id": "Secureworks",
			"reports": null
		},
		{
			"id": "6abcc917-035c-4e9b-a53f-eaee636749c3",
			"created_at": "2022-10-25T16:07:23.565337Z",
			"updated_at": "2026-04-10T02:00:04.668393Z",
			"deleted_at": null,
			"main_name": "Earth Lusca",
			"aliases": [
				"Bronze University",
				"Charcoal Typhoon",
				"Chromium",
				"G1006",
				"Red Dev 10",
				"Red Scylla"
			],
			"source_name": "ETDA:Earth Lusca",
			"tools": [
				"Agentemis",
				"AntSword",
				"BIOPASS",
				"BIOPASS RAT",
				"BadPotato",
				"Behinder",
				"BleDoor",
				"Cobalt Strike",
				"CobaltStrike",
				"Doraemon",
				"FRP",
				"Fast Reverse Proxy",
				"FunnySwitch",
				"HUC Port Banner Scanner",
				"KTLVdoor",
				"Mimikatz",
				"NBTscan",
				"POISONPLUG.SHADOW",
				"PipeMon",
				"RbDoor",
				"RibDoor",
				"RouterGod",
				"SAMRID",
				"ShadowPad Winnti",
				"SprySOCKS",
				"WinRAR",
				"Winnti",
				"XShellGhost",
				"cobeacon",
				"fscan",
				"lcx",
				"nbtscan"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "d53593c3-2819-4af3-bf16-0c39edc64920",
			"created_at": "2022-10-27T08:27:13.212301Z",
			"updated_at": "2026-04-10T02:00:05.272802Z",
			"deleted_at": null,
			"main_name": "Earth Lusca",
			"aliases": [
				"Earth Lusca",
				"TAG-22",
				"Charcoal Typhoon",
				"CHROMIUM",
				"ControlX"
			],
			"source_name": "MITRE:Earth Lusca",
			"tools": [
				"Mimikatz",
				"PowerSploit",
				"Tasklist",
				"certutil",
				"Cobalt Strike",
				"Winnti for Linux",
				"Nltest",
				"NBTscan",
				"ShadowPad"
			],
			"source_id": "MITRE",
			"reports": null
		},
		{
			"id": "b3e954e8-8bbb-46f3-84de-d6f12dc7e1a6",
			"created_at": "2022-10-25T15:50:23.339976Z",
			"updated_at": "2026-04-10T02:00:05.27483Z",
			"deleted_at": null,
			"main_name": "Sandworm Team",
			"aliases": [
				"Sandworm Team",
				"ELECTRUM",
				"Telebots",
				"IRON VIKING",
				"BlackEnergy (Group)",
				"Quedagh",
				"Voodoo Bear",
				"IRIDIUM",
				"Seashell Blizzard",
				"FROZENBARENTS",
				"APT44"
			],
			"source_name": "MITRE:Sandworm Team",
			"tools": [
				"Bad Rabbit",
				"Mimikatz",
				"Exaramel for Linux",
				"Exaramel for Windows",
				"GreyEnergy",
				"PsExec",
				"Prestige",
				"P.A.S. Webshell",
				"AcidPour",
				"VPNFilter",
				"Neo-reGeorg",
				"Cyclops Blink",
				"SDelete",
				"Kapeka",
				"AcidRain",
				"Industroyer",
				"Industroyer2",
				"BlackEnergy",
				"Cobalt Strike",
				"NotPetya",
				"KillDisk",
				"PoshC2",
				"Impacket",
				"Invoke-PSImage",
				"Olympic Destroyer"
			],
			"source_id": "MITRE",
			"reports": null
		}
	],
	"ts_created_at": 1775434904,
	"ts_updated_at": 1775826709,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/ba643f3a374f019aac76e476898af8f1338d8782.pdf",
		"text": "https://archive.orkl.eu/ba643f3a374f019aac76e476898af8f1338d8782.txt",
		"img": "https://archive.orkl.eu/ba643f3a374f019aac76e476898af8f1338d8782.jpg"
	}
}