SnakeKeylogger: 다단계 인포스틸러의 은밀한 자격 증명 탈취 캠페인 분석

Kant Jo 2025. 5. 7. 08:00

Multistage Info-Stealer SnakeKeylogger Targets Individuals and Businesses to Steal Login Credentials

SnakeKeylogger, a sophisticated multistage malware, has emerged as a significant threat to both individuals and businesses.

gbhackers.com

위협 개요
- SnakeKeylogger는 다단계 구조와 인메모리 실행을 특징으로 하는 고도화된 정보 탈취형 악성코드
- 개인 사용자뿐 아니라 기업을 대상으로 웹 브라우저, 이메일 클라이언트, FTP 클라이언트에서 자격 증명 탈취 수행
- 감염 경로는 주로 스팸 메일에 포함된 .img 파일 첨부를 통한 사용자 기만 방식
감염 체인 및 기술적 전술
- 1단계: 첨부된 .img 파일을 열면 가상 드라이브 생성, 내부에 PDF 위장 실행 파일 포함
- 2단계: 실행 파일이 다운로더 및 로더 역할 수행, 원격 서버로부터 미디어 파일로 위장한 페이로드 수신
- 3단계: 수신 페이로드는 디스크 기록 없이 메모리 내 복호화 후 실행, 탐지 회피
- 4단계: 난독화된 DLL을 메모리 내 로딩하고, 정상 프로세스에 코드 인젝션
  - 특히 .NET Framework 관련 프로세스(InstallUtil.exe) 대상으로 프로세스 할로잉 기법 사용
  - 이 과정에서 정상 프로세스의 메모리를 언매핑하고, 악성 코드를 삽입 후 재개
주요 표적 및 영향
- 자격 증명 수집 대상 애플리케이션
  - 웹 브라우저: Chrome, Firefox
  - 이메일 클라이언트: Outlook, Thunderbird
  - FTP 클라이언트: FileZilla
- 시스템 레지스트리 내 이메일 설정 및 계정 정보 추출
  - 다단계 인증(MFA)을 우회할 수 있는 잠재적 위협
- 탈취된 정보는 기업 이메일 침해(BEC), 추가 침입, 다크웹 판매 등에 악용 가능
인프라 및 지속성
- 공격자는 Apache 웹 서버 기반의 인프라를 통해 악성 페이로드를 지속적으로 호스팅 및 갱신
- 암호화된 페이로드와 파일 위장 기법, 프로세스 은닉 기술을 통해 보안 솔루션 회피
결론
- SnakeKeylogger는 고전적인 피싱 기반 유포 전략과 현대적인 인메모리 공격, 프로세스 은닉, 암호화 기법을 결합하여 탐지 회피 및 침투 성공률을 극대화
- 기업 보안 관점에서는 첨부파일 차단 정책 강화, SIEM 기반 메모리 탐지 로직 추가, InstallUtil.exe의 비정상 실행 모니터링이 중요
- FTP 클라이언트 및 이메일 클라이언트 보안 설정 점검 및 자격 증명 저장 제한 필요

저작자표시 비영리 변경금지 (새창열림)