New Steganographic Malware Hides in JPG Files to Deploy Multiple Password Stealers
New Steganographic Malware Hides in JPG Files to Deploy Multiple Password Stealers
A recent cybersecurity threat has emerged in the form of a steganographic campaign that uses seemingly harmless JPG files.
gbhackers.com
- 공격 개요
- 최근 탐지된 공격 캠페인은 JPG 이미지 파일에 악성 로더를 은닉하는 스테가노그래피(steganography) 기술을 활용
- 이 캠페인은 다양한 패스워드 탈취형 악성코드(Remcos, AsyncRAT 등) 유포에 사용됨
- 초기 감염은 피싱 이메일의 CVE-2017-0199 취약점을 포함한 악성 Excel 문서로 시작됨
- 감염 흐름 및 페이로드 배포
- 사용자가 Excel 문서를 열면 외부
.hta파일을 다운로드하며 VBScript가 실행됨 - 해당 스크립트는 배치 파일을 작성하고, 또 다른 VBScript를 다운로드
- 이후 JPG 파일을 다운로드하는데, 이 이미지에는 base64로 인코딩된 악성 로더가 포함되어 있음
- 로더가 실행되면서 최종 페이로드인 Remcos 또는 AsyncRAT이 감염 시스템에 설치됨
- 사용자가 Excel 문서를 열면 외부
- 악성코드 상세 기능
- Remcos는 2016년부터 활동한 고전적인 RAT으로, 키로깅, 명령 실행, 추가 페이로드 전송 기능을 보유
- AsyncRAT은 C# 기반으로 유사 기능을 제공하며, 지연 실행 등 탐지 회피 기법 포함
- 프로세스 할로잉(process hollowing) 기법을 통해 정상 프로세스에 악성 코드를 삽입하여 탐지 회피
- 악성 DLL은 난독화되어 분석을 어렵게 하며, .NET 함수명이 위장되어 있음
- 우회 및 위장 기술
- 악성 VBScript는 시스템 파일처럼 위장(예:
prnmngr.vbs프린터 관리 스크립트) - 사용자는 정상적인 시스템 관리 스크립트로 오인하게 됨
- 이미지 파일 내부에 악성코드를 은닉하여 정적 탐지로부터 회피
- 감염 이후 C2(Command and Control) 서버와 통신하며 추가 악성코드를 배포할 수 있음
- 악성 VBScript는 시스템 파일처럼 위장(예:
- 보안 권고
- CVE-2017-0199과 같은 오래된 문서 기반 취약점에 대한 패치 적용 필수
- 메일 필터링 및 첨부파일 실행 차단 설정을 통해 초기 감염 차단
- 이미지 파일 검사 강화, 파일 내부 base64 인코딩 분석 필요
- EDR 및 XDR 솔루션을 통한 행위 기반 탐지 도입
- 스크립트 실행 로깅 및 모니터링 강화, 의심 프로세스 분석 루틴 마련
- 결론
- 스테가노그래피 기반 악성코드는 탐지를 어렵게 만들며, 공격자가 다단계 우회 전략을 수립하고 있음을 보여줌
- 조직은 문서 기반 악성코드, 이미지 은닉 위협 등 비정형 매체 기반 악성코드 대응체계를 갖추어야 함
- 사용자 교육 및 위협 인텔리전스 기반 보안 전략이 병행되어야 실질적인 방어 가능
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| OSV-Scanner V2 발표, 오픈소스 취약점 스캐닝 및 자동 완화 플랫폼 진화 (0) | 2025.04.21 |
|---|---|
| C++ 기반 IIS 악성코드, cmd.exe 위장으로 탐지 회피 (0) | 2025.04.21 |
| CSS를 악용한 피싱 메시지 탐지 회피 기법 분석 (0) | 2025.04.21 |
| SocGholish 악성 프레임워크를 통한 RansomHub 랜섬웨어 유포 분석 (0) | 2025.04.21 |
| ChatGPT 접속 장애 발생, “Gateway Time-out” 오류 속출 (0) | 2025.04.21 |