🌫️ 다단계 피싱 공격 'Cascading Shadows' 분석: Agent Tesla부터 Remcos까지

🧩 공격의 시작: 평범한 척 위장된 이메일

공격자는 기업 담당자나 회계담당자를 겨냥해
"새로운 결제가 완료되었습니다"라는 내용의 피싱 이메일을 보냅니다.

📎 이메일에는 doc00290320092.7z라는 압축파일이 첨부되어 있고,
이를 열어보면 JavaScript 인코딩 파일(.jse)이 포함되어 있죠.

🔍 피해자: B2B 거래 기업, 회계 담당자
🎯 목적: 악성코드 배포 후 정보 탈취

---

🧬 Cascading Shadows: 감춰진 다단계 공격 체인

이 .jse 파일은 단순한 스크립트가 아닙니다.
실행 즉시 PowerShell 스크립트를 외부 서버에서 다운로드합니다.

이후 구조는 다음과 같은 복잡한 분기형 감염 경로로 나뉩니다.

🧪 분기 1: .NET 경로

1. Base64 인코딩된 페이로드 디코딩 → 디스크 저장
2. AES 또는 Triple DES 방식으로 페이로드 복호화
3. RegAsm.exe 프로세스에 악성 코드 인젝션
4. 최종 실행: Agent Tesla 또는 XLoader

 

✅ Agent Tesla: 키로깅, 스크린샷, 클립보드 탈취
✅ XLoader: 브라우저 정보, 암호 수집 등 스파이 기능

 

🧬 분기 2: AutoIt 경로

1. AutoIt로 컴파일된 실행파일 → 암호화된 페이로드 포함
2. 쉘코드 디코딩 후 RegSvcs.exe에 인젝션
3. DLLCALLADDRESS 기법으로 은밀히 악성코드 실행

✅ Remcos RAT: 원격 제어, 파일 탈취, 카메라 접근

---

🛡 방어는 가능할까?

이 공격은 샌드박스 회피, 복잡한 분기 구조, 정상 프로세스 인젝션 등을 통해
일반적인 탐지 시스템을 쉽게 우회합니다.

하지만 아래와 같은 고급 보안 솔루션은 효과적으로 대응할 수 있습니다.

✅ Palo Alto Networks 기술 스택:

• Advanced WildFire: 악성코드 샘플 분석 및 AutoIt 탐지
• Advanced URL Filtering & DNS Security: 악성 주소 차단
• Cortex XDR + XSIAM: 프로세스 행위 기반 이상 탐지

---

🎯 포인트 정리

항목	내용
시작 방식	피싱 이메일 + .7z 압축파일
1차 감염	.jse → PowerShell 다운로드
감염 분기	.NET vs AutoIt
주요 악성코드	Agent Tesla, XLoader, Remcos RAT
탐지 회피 방식	프로세스 인젝션, DLL 호출, 무난한 스크립트 구조
탐지 대응	WildFire, Cortex XDR, 고급 URL 필터링 등

---

🚨 왜 이게 중요한가?

보안 전문가들은 흔히 악성코드에서 난독화를 중점적으로 보지만,
Cascading Shadows는 그보다 더 정교한 전략을 사용합니다.

특히 AutoIt 기반 악성코드나 DLLCALLADDRESS 기법은
정적 분석 도구가 아닌 행위 기반 분석이 필수적이에요.

---

📣 대응을 위한 팁

• ❗ 의심스러운 .7z, .jse, .ps1 파일 첨부 주의
• ✅ 이메일 보안 필터링 + URL 차단 정책 강화
• ✅ EDR 솔루션에서 RegAsm.exe, RegSvcs.exe의 이상 행위 모니터링
• ✅ AutoIt 기반 악성코드 탐지 룰 강화