뉴스로 돌아가기

ScamIntelLogs 조사 및 도구 출시

케이타로 TDS: 1,500개의 패널이 노출되었으나 합법적인 용도는 단 하나도 발견되지 않았다

여러분이 한 번도 본 적 없는 모든 사기 사건의 배후에 숨겨진 위장 엔진. PhishDestroy는 50,000개 이상의 사이트를 스캔하여 1,565개의 Keitaro TDS 관리자 패널을 발견했으나, 합법적으로 배포된 사례는 단 하나도 없었습니다. 모든 패널은 암호화폐 사기, 피싱, 악성코드 유포 또는 그보다 더 심각한 범죄와 연관되어 있었습니다. 주요 고객으로는 EvilCorp, LockBit 랜섬웨어, VexTrio 등이 있습니다. 오픈소스 탐지 툴킷, 7단계 방법론, 전체 패널 CSV 파일이 이제 공개되었습니다.

1,565개의 패널이 검색되었습니다100% 악성 코드 비율7가지 검출 방법4가지 도구 출시
TDS 케이타로의 실체
0
발견된 관리자 패널
50,000+
스캔된 사이트
0%
적법한 용도
7
검출 방법

‘케이타로 TDS’란 무엇인가요?

Keitaro TDS는 다음 업체에서 판매하는 상용 교통 분산 시스템입니다. Apliteni OU, (에 설립된) 회사 에스토니아. 겉으로 보기에는 제휴 마케팅 담당자들을 위한 트래픽 관리 도구로 홍보되고 있습니다. 하지만 실제로는 전 세계 사기 생태계에서 가장 널리 사용되는 클로킹 엔진입니다.

클로킹이란 방문자마다 서로 다른 콘텐츠를 보여주는 기법입니다. 보안 연구원, 광고 심사관 또는 법 집행관이 특정 URL을 방문하면, Keitaro는 이를 식별하여 정상적이고 무해한 페이지를 표시합니다. 반면 실제 피해자가 동일한 URL을 방문하면, 암호화폐 사기 사이트, 피싱 페이지, 악성코드 다운로드 페이지 또는 사기성 전자상거래 사이트로 리디렉션됩니다. 피해자는 정상적인 버전을 절대 볼 수 없으며, 분석가는 사기 내용을 절대 파악할 수 없습니다.

케이타로의 가격대는 월 €40에서 €400, 이를 엔터프라이즈급 사기 방지 인프라로 자리매김하고 있습니다. 이 시스템은 방문자 데이터를 최대 9.75년, 이를 통해 운영자들에게 피해자의 지문, 지리적 데이터, 행동 프로필로 구성된 방대한 데이터 세트를 제공합니다. 이 모든 데이터는 AWS 인프라, 즉 아마존은 자신도 모르게 수천 건의 사기 행위의 백엔드를 호스팅하고 있는 셈이다.

유령 회사

Apliteni OU 이 회사는 에스토니아의 e-Residency 프로그램과 유리한 기업 개인정보 보호법을 활용하여 에스토니아에서 운영되고 있습니다. 이 회사는 전문적인 마케팅, 문서화, 고객 지원을 통해 겉으로는 합법적인 모습을 유지하고 있지만, 실제로 측정 가능한 모든 제품 배포 사례는 범죄 활동과 연결되어 있습니다. 이 회사는 사실상 ‘사기 서비스(scam-as-a-service)’ 플랫폼에 대해 월 40~400유로를 청구하며, 이 플랫폼은 거의 10년 동안 데이터를 보관합니다.

수치: 패널 1,565개, 타당한 패널 0개

PhishDestroy의 조사는 간단한 가설에서 시작되었습니다. ‘Keitaro TDS에 합법적인 용도가 있다면, 우리는 이를 대규모로 찾아낼 수 있어야 한다.’ 우리는 다음을 조사했습니다. 50,000개 이상의 사이트 자동화 도구와 수동 검증을 병행하여, 특히 케이타로 TDS의 흔적을 집중적으로 조사했습니다. 그 결과, 우리가 발견한 사실은 명백했습니다.

1,565개의 활성화된 Keitaro 관리자 패널 발견되었습니다. 우리는 그 하나하나를 모두 분석했습니다. 그 결과: 정당한 배포가 전혀 없음. 합법적인 제휴 마케팅, A/B 테스트 또는 그 밖의 무해한 목적으로 사용된 패널은 단 하나도 없었다. 모든 패널 — 100% — 가 범죄 활동과 연루되어 있었다.

1,565
활성 패널
100%
악성 비율
5만 이상
스캔된 사이트
9.75년
최대 데이터 보존 기간

학대 유형별 분석

총 1,565개의 패널은 6가지 주요 사기 유형으로 분류되었습니다. 많은 패널이 여러 유형에 동시에 속해 있었으며, 케이타로의 트래픽 라우팅 기능을 활용해 피해자를 지역, 기기, 또는 시간대에 따라 서로 다른 사기 유형으로 유도했습니다.

학대 유형설명
암호화폐 사기 가짜 투자 플랫폼, 지갑 탈취 사이트, pig butchering 랜딩 페이지
피싱 은행, 이메일 서비스 제공업체, 소셜 미디어를 대상으로 한 인증 정보 탈취
악성코드 유포로더 전달, 랜섬웨어 준비 단계, 드라이브-바이 다운로드
전자상거래 사기가짜 상점, 위조 상품, 결제 카드 정보 탈취
데이트 사기연애 사기, 성적인 협박 랜딩 페이지, 가짜 프로필
도박 사기 무허가 카지노, 조작된 베팅 플랫폼, 입금금 탈취

방법론 참고 사항

모든 패널은 분류되기 전에 최소 두 가지의 독립적인 탐지 방법을 통해 검증되었습니다. 오탐지 사례는 수동으로 검토하여 제외했습니다. 1,565건이라는 수치는 확인된 활성 Keitaro 설치 건수만을 나타내는 것이며, 추가적인 보호 계층 뒤에 있는 사례를 포함하는 실제 배포 건수는 분명 이보다 더 많을 것입니다.

형사 사건 의뢰인 명단

Keitaro TDS는 단순한 소규모 사기꾼들만 사용하는 것이 아닙니다. 이는 전 세계에서 가장 위험한 사이버 범죄 조직들이 선호하는 은폐 인프라입니다. 다음은 확인된 고객 목록입니다:

EvilCorp

제재 대상인 러시아 사이버 범죄 조직은 케이타로를 이용해 국제 제재를 우회하고 있습니다. 이빌코프(EvilCorp)는 케이타로의 트래픽 분배를 통해 자신들의 활동을 위장함으로써, 자신들을 차단하기 위해 마련된 보안 통제를 회피하고 있습니다. 케이타로를 통해 전송되는 모든 클릭은 아플리테니 OU(Apliteni OU)의 소프트웨어로 인해 가능해진 제재 위반 행위입니다.

LockBit 랜섬웨어

LockBit 랜섬웨어 그룹은 Keitaro를 활용해 악성코드를 유포했으며, Keitaro의 위장 기능을 통해 실제 표적에게만 랜섬웨어 페이로드를 전달하는 한편, 보안 샌드박스 및 연구원들에게는 무해한 콘텐츠만 노출되도록 했습니다. Keitaro는 역사상 가장 파괴적인 랜섬웨어 공격 중 하나에 있어 공격 효과를 배가시키는 역할을 했습니다.

VexTrio

현재까지 알려진 케이타로의 최대 고객사. VexTrio는 60개 이상의 제휴사 및 제어 기능 86,832개 이상의 도메인, 이 모든 트래픽이 케이타로의 배포 엔진을 통해 유입됩니다. 이 단일 운영 체계는 인터넷상의 악성 광고 트래픽에서 막대한 비중을 차지하며, 케이타로는 이를 은폐하는 데 핵심적인 역할을 하고 있습니다.

ClearFake

ClearFake는 해킹당한 웹사이트에 가짜 브라우저 업데이트 알림을 삽입하여, 피해자가 “업데이트”를 클릭하면 악성코드를 유포합니다. Keitaro의 클로킹 기능 덕분에 실제 방문자만 악성 오버레이를 보게 되며, 보안 스캐너에는 원래의 정상적인 웹사이트만 표시됩니다. 그 결과, 탐지율이 거의 제로에 가까운 악성코드 유포가 가능해집니다.

FakeBat

FakeBat은 악성 광고 캠페인을 통해 유포되는 악성코드 로더입니다. Keitaro는 의사결정 엔진을 통해 광고 트래픽을 라우팅합니다. 보안 도구의 경우 정상적인 소프트웨어 다운로드 페이지로 리디렉션되는 반면, 실제 사용자에게는 트로이목마가 심어진 설치 프로그램이 제공됩니다. Keitaro는 광고 플랫폼의 보안 팀이 FakeBat의 악성 광고 캠페인을 사실상 감지하지 못하도록 만듭니다.

도펠갱어

케이타로를 이용해 서방 소셜 미디어 전반에 선전 내용을 유포하는 러시아 정부 연계 허위정보 캠페인. 케이타로의 지리적 및 기기 지문 인식 기술을 통해 콘텐츠 관리자와 사실 확인 담당자가 대상 집단과는 다른 콘텐츠를 보도록 보장한다. 에스토니아의 상용 소프트웨어가 뒷받침하는 정보전이다.

"지난 18개월 동안 우리가 수사한 모든 주요 사이버 범죄 사건에서 케이타로의 흔적을 발견했습니다. 이는 우연이 아닙니다. 범죄자들에게 있어 이는 업계 표준이나 다름없습니다."

— PhishDestroy 연구팀

7단계 탐지 방법론

이번 조사 과정에서 PhishDestroy는 Keitaro TDS 배포를 식별하기 위한 7가지 독자적인 방법을 개발했습니다. 각 방법은 Keitaro가 남기는 서로 다른 지문을 대상으로 하며, 이 방법들이 결합되어 포괄적인 탐지 프레임워크를 형성하고 있으며, 현재 오픈소스 도구로 제공되고 있습니다.

1. /click_api/v3 엔드포인트

클릭 이벤트를 처리하기 위한 Keitaro의 핵심 API 엔드포인트입니다. 이 경로는 소프트웨어에 하드코딩되어 있으며 모든 설치 환경에서 존재합니다. 이 엔드포인트를 확인하는 것이 Keitaro 배포 여부를 확인하는 가장 빠른 방법입니다. 이 경로에서 200 또는 302 응답이 반환되면 거의 확실하게 Keitaro가 배포된 것으로 판단할 수 있습니다.

2. _lp / _token / _subid URL 매개변수

Keitaro는 리디렉션 체인 과정에서 URL에 고유한 추적 매개변수를 추가합니다. 이 _lp 이 매개변수는 랜딩 페이지를 식별하며, _token 세션 인증을 수행하며, _subid 서브 제휴사 출처를 추적합니다. 이러한 매개변수는 Keitaro에만 고유하며, 정상적인 트래픽 관리 시스템에서는 거의 나타나지 않습니다.

3. 케이타로 전용 쿠키

케이타로는 방문자 세션을 추적하고 클로킹 상태를 유지하기 위해 고유한 쿠키를 설정합니다. 이 쿠키들은 표준 분석 플랫폼과는 다른 명명 규칙을 따르기 때문에, 브라우저 검사나 자동화된 쿠키 분석을 통해 식별할 수 있습니다.

4. 응답 헤더 패턴

케이타로의 서버 응답에는 특정 캐시 제어 지시문, 사용자 정의 헤더, 표준 웹 서버와는 다른 서버 식별 문자열 등 독특한 HTTP 헤더 패턴이 포함되어 있습니다. 이러한 헤더는 운영자가 설정을 사용자 정의하려고 시도하더라도 그대로 유지됩니다.

5. 자바스크립트 리디렉션 체인

케이타로는 사기 페이지와 정상 페이지 중 어느 것을 표시할지 결정하기 전에 방문자의 지문을 평가하기 위해 다단계 자바스크립트 리디렉션을 구현합니다. 이러한 리디렉션 체인은 특정 변수 이름, 타이밍 순서, 평가 논리 등 예측 가능한 패턴을 따르며, 정적 및 동적 자바스크립트 분석을 통해 탐지될 수 있습니다.

세계 열지도: 전 세계에서 1,565개의 Keitaro TDS 패널이 탐지되었으며, 적법한 사용 사례는 0건으로 확인되었습니다.
세계 열지도: 전 세계에서 1,565개의 Keitaro TDS 패널이 탐지되었으며, 적법한 사용 사례는 0건으로 확인되었습니다.
6. 도메인 패턴 분석

Keitaro 운영자들은 대개 예측 가능한 명명 규칙과 등록 패턴에 따라 도메인을 등록하는 경향이 있습니다. 대량 도메인 분석 결과, WHOIS 정보, 등록일, 네임서버 설정 및 호스팅 제공업체가 유사한 도메인 클러스터가 발견되었으며, 이 모든 요소는 조직적으로 이루어진 Keitaro 배포를 시사합니다.

7. 관리자 패널 지문 인식

Keitaro 관리자 패널은 알려진 경로를 통해 접근할 수 있으며, 고유한 HTML 구조, CSS 클래스 이름 및 자바스크립트 파일을 반환합니다. 운영자가 기본 로그인 URL을 변경하더라도, 패널의 프론트엔드 프레임워크는 경로 열거 및 콘텐츠 지문 분석을 통해 탐지될 수 있는 식별 가능한 흔적을 남깁니다.

다층 방어

어떤 탐지 방법도 완벽할 수는 없습니다. 숙련된 공격자는 개별 지문을 비활성화하거나 변조할 수 있습니다. 그렇기 때문에 7단계 방법론은 다층적 시스템으로 작동합니다. 공격자가 세 가지나 네 가지 지문을 제거하더라도, 나머지 방법들을 통해 해당 배포가 여전히 탐지될 것입니다. 저희 테스트 결과, 모든 Keitaro 패널은 7가지 방법 중 최소 4가지 방법으로 탐지될 수 있었습니다.

글로벌 인프라 지도

1,565개의 케이타로 패널은 저렴한 VPS 제공업체와 악용 신고 대응 속도가 느린 관할 구역을 선호하는 글로벌 호스팅 인프라에 분산되어 있습니다. 패널이 위치한 곳은 다음과 같습니다:

지역호스팅 제공업체참고 사항
미국DigitalOcean, Vultr 패널이 가장 많이 집중된 곳입니다. 미국에 기반을 둔 호스팅 서비스는 북미 지역의 피해자들에게 빠른 응답 시간을 제공합니다.
네덜란드다양한 VPS 유럽을 대상으로 한 캠페인에 널리 사용됩니다. 호스팅 정책이 관대합니다.
독일Hetzner, 기타 EU를 표적으로 한 피싱 및 전자상거래 사기 활동의 주요 Hub.
러시아다양한 방탄 수많은 운영자들의 거점. 악용 방지 조치가 전혀 없는 호스팅 제공업체들.
영국다양한 클라우드 영국의 금융 기관 및 정부 서비스를 표적으로 삼는 데 사용됩니다.
홍콩Femo 클러스터 아시아를 표적으로 한 암호화폐 사기와 관련된 뚜렷한 패널 클러스터. “Femo 클러스터”는 조직적으로 활동하는 집단으로 운영된다.

미국의 패권

미국은 주로 DigitalOcean과 Vultr를 통해 가장 많은 Keitaro 패널이 집중되어 있습니다. 이 업체들은 악용 신고를 처리하는 주요 클라우드 서비스 제공업체들이지만, 배포 건수가 방대하고 운영자들이 새로운 인스턴스를 빠르게 생성하는 탓에 악용 대응 팀은 끊임없이 뒤쫓아가는 상황입니다.

페모 클러스터

홍콩의 인프라를 기반으로 운영되며, 암호화폐 사기 및 도박 사기를 통해 아시아 시장을 노리는 독특한 케이타로 패널 클러스터가 확인되었습니다. “페모 클러스터”는 단일 운영자나 조직화된 집단이 수십 개의 패널을 동시에 관리하고 있음을 시사하는, 조율된 배포 패턴을 보이고 있습니다.

AWS 백엔드

프론트엔드 패널이 어디에 호스팅되든 상관없이, Keitaro의 핵심 데이터 저장소는 아마존 웹 서비스(AWS). 이는 잠재적으로 수백만 명에 달하는 사기 피해자들의 방문자 식별 정보, 리디렉션 로그, 타겟팅 데이터가 아마존 인프라에 저장되어 있음을 의미합니다. 최대 9.75년 동안 데이터를 보관하는 AWS는 현존하는 가장 방대한 사기 피해자 데이터베이스 중 하나를 호스팅하고 있습니다.

오픈소스 도구 출시

이번 조사와 함께 PhishDestroy는 완전한 오픈소스 탐지 툴킷을 공개합니다. 모든 도구는 무료로 제공되며, API 키가 필요 없고, 즉시 배포할 수 있습니다. 1,565개의 패널로 구성된 전체 데이터셋이 포함되어 있습니다.

전체 증거 저장소

모든 도구, 데이터 및 증거는 다음 사이트에 공개되어 있습니다. phishdestroy.github.io/ScamIntelLogs/keitaro/. 이 저장소는 공개되어 있으며, 새로운 패널이 발견될 때마다 업데이트될 예정입니다. 커뮤니티의 기여와 추가적인 탐지 방법을 환영합니다.

탐지, 신고, 해체

케이타로 TDS 패널을 어떻게 탐지했는가 — 지문 분석 방법론
케이타로 TDS 패널을 어떻게 탐지했는가 — 지문 분석 방법론
Keitaro TDS 트래픽 흐름 — 악성 패널이 피해자를 어떻게 리디렉션하는가
Keitaro TDS 트래픽 흐름 — 악성 패널이 피해자를 어떻게 리디렉션하는가

TDS 케이타로는 사기 행각을 지속시키는 보이지 않는 기반 구조입니다. 여러분이 신고하는 모든 패널, 탐지하는 모든 사례, 공유하는 모든 데이터 세트는 이 생태계를 무너뜨리는 데 기여합니다. 도구를 활용하고, 데이터를 공유하며, 발견한 내용을 신고해 주세요.

#KeitaroTDS#TrafficDistribution#Malvertising#ScamInfra#Investigation

관련 연구

가짜 카지노 유행: 5가지 실태 폭로
30개국 이상에서 383명의 확인된 피해자가 발생한 4개 카지노 PaaS 운영 사례에 대한 비교 분석.
‘크립토 드레이너’ 툴킷 실체 드러나
TRXDrop과 NiceCrypto가 지갑 연결을 악용해 암호화폐 자산을 훔치는 방법.
TheProject: 1,000만 달러 규모의 사기 제국
거대한 규모로 조직화된 사기 작전을 펼치는 사기 제국의 내부.
사기 조직 비교
조직화된 사기 팀의 구조, 도구 및 운영 방식을 나란히 비교한 내용.
PhishDestroy 도구 및 서비스
보안 연구원을 위한 오픈소스 탐지, 분석 및 보고 도구 모음.
제거의 해부
피싱 인프라를 무력화하는 방법에 대한 단계별 안내.
투명성 공지. PhishDestroy는 비영리 독립 프로젝트입니다. 당사의 연구 결과에는 사기 인프라 및 이를 가능하게 하는 서비스에 대한 내재된 편향이 반영되어 있을 수 있습니다. 독자 여러분께서는 모든 자료를 비판적이고 독립적인 시각으로 평가해 주시기를 권장합니다. 투명성 선언문 전문 보기 →