Kant's IT/Issue on IT&Security
MSI 패키지 및 PNG 파일을 악용한 다단계 멀웨어 공격 발견
Kant Jo
2025. 2. 3. 15:40
Hackers Weaponize MSI Packages & PNG Files to Deliver Multi-stage Malware
Hackers Weaponize MSI Packages & PNG Files to Deliver Multi-stage Malware
Researchers have reported a series of sophisticated cyber attacks aimed at organizations in Chinese-speaking regions.
gbhackers.com
- 공격 개요
- 중국어권(홍콩, 대만, 중국 본토) 조직 대상 정교한 사이버 공격 발생
- 멀티 스테이지 로더(Multi-stage Loader) PNGPlug를 사용하여 ValleyRAT 악성코드 배포
- MSI 패키지를 활용한 사회공학적 공격
- 실제 소프트웨어로 위장한 피싱 페이지를 통해 악성 MSI 다운로드 유도
- 공격 단계 및 실행 방식
- 1단계: MSI 패키지를 통한 초기 감염
- 피해자가 악성 MSI 파일 실행 시 두 가지 주요 동작 수행
- 정상 애플리케이션 실행하여 합법적인 프로그램으로 위장
- 암호화된 악성 페이로드를 포함한 아카이브 파일(all.zip) 추출
- Windows Installer의 CustomAction 기능을 이용하여 악성 DLL 실행
- 하드코딩된 패스워드 "hello202411"을 사용하여 악성 페이로드 복호화
- 피해자가 악성 MSI 파일 실행 시 두 가지 주요 동작 수행
- 2단계: 악성 로더(libcef.dll) 실행
- libcef.dll: 220MB 크기로 패딩하여 보안 솔루션 탐지 우회
- down.exe: 정상 프로그램을 실행하여 악성 행위 은폐
- aut.png, view.png: 악성 페이로드를 포함한 PNG 파일
- 1단계: MSI 패키지를 통한 초기 감염
- PNGPlug 로더 역할
- 메모리 내 코드 실행 및 안티바이러스 탐지 회피
- 악성 페이로드를 PNG 파일 내에 숨겨 탐지 회피
- 자동 실행 및 지속성 확보
- 주요 기능 분석
- ntdll.dll 패치: 메모리 내 악성 코드 주입 가능
- 명령어 인자 분석
/aut인자 존재 시: XOR 암호화된 레지스트리 경로 복호화, down.exe 경로 저장, aut.png 메모리 로드/aut인자 미존재 시: down.exe 실행
- 안티바이러스 탐지 회피
- 360 Total Security 등 특정 보안 소프트웨어 탐지
- 보안 솔루션 미설치 시 view.png 파일을 로드하여 colorcpl.exe 프로세스 실행
- ValleyRAT 악성코드 분석
- Silver Fox APT 그룹과 연관된 원격 액세스 트로이 목마(RAT)
- 파일리스(Fileless) 실행을 통한 탐지 회피
- 권한 상승 및 은폐 기법 활용
- 지속성 유지 기법
- Windows 작업 스케줄러(Scheduled Tasks) 및 레지스트리 변경
- C2(Command & Control) 서버와의 통신을 통한 추가 악성 코드 다운로드
- 보안 권고
- MSI 및 PNG 파일 기반 악성코드 탐지 강화
- 신뢰할 수 없는 소스의 MSI 설치 자제
- PNG 파일 내 숨겨진 페이로드 탐지를 위한 보안 솔루션 업데이트
- 레지스트리 및 프로세스 모니터링
- 비정상적인 DLL 로드 및 프로세스 실행 감시
- CustomAction 기능을 활용한 의심스러운 동작 탐지
- 이메일 및 웹사이트 피싱 공격 차단
- 악성 피싱 웹사이트 및 첨부파일 다운로드 차단 정책 적용
- YARA 규칙 활용한 멀웨어 탐지
- PNGPlug 및 ValleyRAT 관련 IOCs 활용하여 보안 모니터링 시스템 강화
- MSI 및 PNG 파일 기반 악성코드 탐지 강화