새로운 Snake Keylogger 변종, AutoIt 스크립트 활용해 탐지 회피

New Snake Keylogger Variant Leverages AutoIt Scripting to Evade Detection

 

• 개요
  • Snake Keylogger의 새로운 변종이 중국, 터키, 인도네시아, 대만, 스페인의 Windows 사용자를 적극적으로 타겟팅
  • Fortinet FortiGuard Labs에 따르면, 올해 초부터 2억 8천만 건 이상의 감염 시도가 차단됨
  • AutoIt 스크립트 언어를 사용하여 탐지 회피 및 악성 페이로드 실행
• 공격 기법 및 전파 경로
  • 전파 방식
    • 피싱 이메일을 통해 악성 첨부 파일 또는 링크 전달
    • LNK(바로가기) 파일을 PDF 문서로 위장해 감염 유도
    • 교육 기관의 취약 인프라를 이용한 WebDAV 서버를 통한 악성 파일 배포
  • AutoIt 활용 방식
    • AutoIt으로 컴파일된 실행 파일을 사용하여 탐지 우회
    • 합법적인 자동화 도구처럼 동작하며 정적 분석을 어렵게 함
    • 악성 페이로드를 AutoIt 스크립트에 포함시켜 동적 분석 회피
• 감염 및 악성 행위 과정
  • 파일 드롭 및 지속성 확보
    • %Local_AppData%\supergroup 경로에 ageless.exe 생성
    • Windows 시작 폴더에 ageless.vbs 추가 → 시스템 재부팅 시 자동 실행
  • 프로세스 하이재킹 및 페이로드 주입
    • 합법적인 regsvcs.exe(.NET 프로세스)에 프로세스 할로잉 기법 적용
    • 탐지를 회피하며 백그라운드에서 악성 코드 실행
  • 정보 수집 및 유출
    • 키 입력 로깅: SetWindowsHookEx API를 사용해 키보드 입력 감시
    • 브라우저 정보 및 로그인 자격 증명 탈취
    • 클립보드 모니터링 및 암호화폐 지갑 데이터 수집
    • 피해자의 IP 주소 및 위치 정보 수집: checkip.dyndns[.]org 이용
    • 수집된 정보는 SMTP 서버나 Telegram 봇을 통해 외부 유출
• 관련 공격 및 악성코드 동향
  • Lumma Stealer 캠페인
    • 금융, 의료, 기술, 미디어 업계 대상 멀티 스테이지 공격
    • LNK 파일 실행 시 PowerShell 명령어 실행 → 추가 악성코드 다운로드 및 실행
    • Steganography(스테가노그래피) 기법 사용: JPG 이미지와 텍스트 파일에 악성 실행 파일 은닉
  • Lumma Stealer 및 유사 악성코드 활동
    • 웹 브라우저 데이터, 암호, 암호화폐 지갑 정보 집중 탈취
    • Telegram 봇을 통한 데이터 수집 및 공격자 명령 수신
• 보안 권고
  • 탐지 및 차단
    • AutoIt 및 PowerShell 실행 모니터링 강화
    • Windows 시작 폴더와 %AppData% 경로의 비정상 파일 탐색 및 제거
    • 의심스러운 regsvcs.exe 프로세스 활동 감시
  • 피싱 방지 교육 및 정책 적용
    • 사용자 대상 피싱 이메일 식별 교육
    • LNK, VBS, AutoIt 파일 실행 차단 정책 적용
  • 네트워크 및 시스템 방어 강화
    • SMTP 및 Telegram 트래픽의 비정상 연결 탐지
    • 정기적인 패치 적용 및 백신 프로그램 업데이트
    • WebDAV 및 외부 서버 접속에 대한 네트워크 필터링
• 결론
  • Snake Keylogger 변종은 AutoIt과 프로세스 할로잉 기법을 이용해 기존 탐지 솔루션 회피
  • 다단계 공격 및 정보 탈취 시도에 대비한 철저한 모니터링과 예방적 보안 정책 강화 필요
  • 사용자 교육 및 파일 실행 제어를 통해 피싱 기반 초기 감염을 효과적으로 차단할 수 있음