Hackers Hide Malware in Images to Deploy VIP Keylogger and 0bj3ctivity Stealer
- 공격 개요
- 공격자는 악성코드를 이미지 파일에 숨겨 VIP Keylogger와 0bj3ctivity Stealer를 배포
- 파일 호스팅 사이트인 archive[.]org를 통해 이미지 파일을 배포하고, .NET 로더를 사용해 최종 페이로드를 설치
- 캠페인은 피싱 이메일에서 시작하여 악성 첨부파일(Excel, JavaScript 등)을 통해 진행
- 공격 단계
- 1단계: 피싱 이메일 전송
- 위장된 인보이스 및 구매 주문서로 수신자를 속여 첨부 파일 실행 유도
- 2단계: 악성 첨부 파일 실행
- Excel 문서: Equation Editor의 CVE-2017-11882 취약점 악용, VBScript 파일 다운로드
- JavaScript 파일: PowerShell 스크립트를 실행해 이미지 파일 다운로드
- 3단계: 이미지 파일에서 Base64 인코딩된 악성코드 추출
- 이미지에서 .NET 실행 파일 생성 및 실행
- 4단계: 최종 악성코드 배포
- VIP Keylogger: 키 입력, 클립보드 내용, 스크린샷, 자격 증명 탈취
- 0bj3ctivity Stealer: 정보 탈취형 멀웨어 배포
- 1단계: 피싱 이메일 전송
- 기술적 특징
- 멀웨어 키트 사용: 악성코드 배포 체인의 효율성 향상 및 기술 요구 사항 감소
- HTML 스머글링: HTML 파일을 사용해 XWorm 원격 접근 트로이목마(RAT) 배포
- GenAI 사용
- 초기 접근 및 악성코드 배포 과정에서 생성형 AI 도구 활용
- 공격의 다양성을 증가시키고 탐지 회피 가능성 높임
- GitHub 리포지토리 악용: 게임 치트 및 수정 도구를 위장하여 Lumma Stealer 멀웨어 배포
- 보안 권고
- 의심스러운 이메일 및 첨부파일 주의
- 출처를 알 수 없는 이메일의 첨부파일 실행 금지
- 최신 소프트웨어 및 보안 업데이트 적용
- CVE-2017-11882 같은 알려진 취약점 방지를 위해 보안 패치 적용
- 이미지 파일 및 실행 파일 모니터링
- 이미지 파일에서 Base64 인코딩된 코드 사용 여부 감지
- 생성형 AI 관련 보안 대비 강화
- GenAI 도구로 생성된 악성코드 및 변종 탐지를 위한 보안 솔루션 도입
- GitHub 리포지토리 및 다운로드 파일 검토
- GitHub 등 공개 저장소에서 제공되는 도구 검증 후 사용
- 의심스러운 이메일 및 첨부파일 주의
- 결론
- 악성코드를 이미지에 숨기는 기술과 멀웨어 키트의 확산은 초보 공격자도 효과적인 감염 체인을 구현 가능하게 함
- 조직은 파일 호스팅 플랫폼, AI 도구, 소셜 코드 저장소를 포함한 다양한 경로의 보안 취약성을 고려한 다층 방어 전략 필요
- 보안 팀은 생성형 AI를 활용한 악성코드 확산에 대응하기 위해 탐지 및 분석 기술을 지속적으로 강화해야 함
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| Python 기반 RansomHub 랜섬웨어: 네트워크 취약점 악용 (1) | 2025.01.26 |
|---|---|
| MikroTik 봇넷: DNS 설정 오류를 통한 악성코드 유포 (1) | 2025.01.26 |
| 개인정보위, AI 개발을 위한 원본 데이터 활용 허용 및 규제 완화 추진 (1) | 2025.01.26 |
| 생성형 AI 시대, 경력 성장을 위한 필수 온라인 강의 (0) | 2025.01.26 |
| 망분리 제도 개선과 제로트러스트 확산 (0) | 2025.01.26 |