Cloudflare 뒤에 숨은 C2 서버 추적, 마인크래프트 피싱 인프라 분석

Context

마인크래프트 사용자를 대상으로 한 Discord Token Stealer 유포 사례. 단순 웹사이트 형태의 Phishing 및 Malware-as-a-Service(MaaS) 인프라 구축. Cloudflare를 활용한 원본 서버 IP 은닉 전략 사용.

Technical Solution

• Passive DNS 분석 및 Censys, Shodan 등 OSINT 도구를 활용한 Cloudflare 우회 및 실제 Origin Server IP 식별
• 추적 토큰 및 CSS Fingerprint 상관관계 분석을 통해 kittycraft.online 등 동일 인프라 공유 도메인 다수 발굴
• Dropbox에 호스팅된 악성 .rar 파일 내 Discord Token Stealer 페이로드 동작 원리 분석
• Windows Server 2016 기반의 C2 서버 식별 및 RDP 관리 체계 확인
• GoDaddy, Google Trust Services 등 글로벌 제공업체 대상 SSL 인증서 폐기 및 악성 사이트 차단 요청 수행

Key Takeaway

공격자는 IaaS와 CDN 서비스의 익명성을 활용해 물리적 위치를 은폐하고 인프라를 빠르게 교체하는 전략을 사용함. 단순 도메인 차단을 넘어 인프라 레벨의 지문 분석과 OSINT를 통한 상관관계 추적이 위협 식별의 핵심임.