팔로우 
요약
이 보고서는 2024년부터 2026년까지 APT28이 PixyNetLoader 악성코드 가족을 어떻게 발전시켰는지를 분석합니다. 이 로더는 악의적인 Office 문서를 통해 제공되며 CVE-2026-21509 를 악용하여 COM에 등록된 DLL을 설치하고, LSB 스테가노그래피를 사용하여 PNG 파일에서 숨겨진 페이로드를 추출합니다. 그 페이로드는 FILEN 클라우드 서비스를 통해 통신하는 Covenant Grunt 임플란트입니다. 연구자들은 네 가지 별개의 PixyNetLoader 하위 가족을 식별하고 변형에 걸쳐 탐지를 지원하기 위한 통합 YARA 규칙을 작성했습니다.
조사
분석가들은 약 90개의 악성코드 샘플을 검토하고 공유 기능과 Rich 헤더 해시 패턴을 기반으로 네 개의 하위 가족으로 그룹화했습니다. 그들은 2026년 3월에 소개된 최신 변형들이 AES 암호화된 헤더와 PBKDF2 기반 키 파생 같은 새로운 스테가노그래피 방법을 추가한 것을 발견했습니다. 조사는 또한, 악성코드에서 사용된 관련 파일 경로, 레지스트리 키, DLL 내보내기 이름을 문서화하고, 가족 전반의 공통 기능에 대한 YARA 시그니처를 작성했습니다.
완화
수호자들은 알 수 없는 DLL의 의심스러운 COM 등록, 악성코드와 연결된 특정 CLSID 관련 레지스트리 키, 그리고 알려진 스테이징 위치의 PNG 파일 배치를 모니터링해야 합니다. 네트워크 방어는 또한 FILEN 서비스로의 트래픽과 YARA 규칙에 설명된 LSB 스테가노그래피 패턴에 맞는 페이로드 특성을 검사해야 합니다. 조직은 CVE-2026-21509 에 대한 패치를 적용하고 위험한 Office 매크로 실행을 제한하거나 비활성화하여 노출을 줄여야 합니다.
응답
PixyNetLoader 활동이 발견되면, 영향을 받은 엔드포인트를 격리하고, 악성 DLL과 관련 PNG 파일을 제거하며, 손상된 COM 등록을 재설정해야 합니다. 조사관들은 추출된 Covenant Grunt 페이로드와 관련 네트워크 로그를 수집한 후, SlimAgent나 Graphite 같은 관련 APT28 도구를 탐지해야 합니다. 탐지 콘텐츠는 또한 업데이트되어야 하며, 매크로 제한은 환경 전반에 일관되게 시행되어야 합니다.
공격 흐름
이 부분을 아직 업데이트 중입니다. 알림을 받으려면 가입하세요
알림 받기탐지
가능성 있는 탐색기 COM 하이재킹 (registry_event 경유)
보기
가능성 있는 Outlook 기반 지속성 (registry_event 경유)
보기
잠재적으로 의심스러운 예약 작업 생성, 실행, 삭제 행동 (process_creation 경유)
보기
의심스러운 Taskkill 실행 (cmdline 경유)
보기
가능성 있는 검색 / Search-MS URI 프로토콜 핸들러 악용 (cmdline 경유)
보기
Schtasks가 의심스러운 디렉토리 / 바이너리 / 스크립트를 가리킴 (cmdline 경유)
보기
LOLBAS Regsvr32 (cmdline 경유)
보기
가능성 있는 데이터 침투 / 유출 / C2 제3자 서비스 / 도구 경유 (cmdline 경유)
보기
가능성 있는 탐색기 COM 하이재킹 (file_event 경유)
보기
가능성 있는 Outlook 기반 지속성 (file_event 경유)
보기
Windows 해킹 도구의 사용하는 것으로 의심됨 [Part1] (file_event 경유)
보기
가능성 있는 데이터 침투 / 유출 / C2 제3자 서비스 / 도구 경유 (dns_query 경유)
보기
의심스러운 예약 작업 (audit 경유)
보기
가능성 있는 데이터 침투 / 유출 / C2 제3자 서비스 / 도구 경유 (proxy 경유)
보기
가능성 있는 데이터 침투 / 유출 / C2 제3자 서비스 / 도구 경유 (dns 경유)
보기
탐지할 IOCs (HashSha256): APT28 PixyNetLoader 추적: 2024년부터 2026년까지 진화 Part 5
보기
탐지할 IOCs (HashSha256): APT28 PixyNetLoader 추적: 2024년부터 2026년까지 진화 Part 4
보기
탐지할 IOCs (HashSha256): APT28 PixyNetLoader 추적: 2024년부터 2026년까지 진화 Part 3
보기
탐지할 IOCs (HashSha256): APT28 PixyNetLoader 추적: 2024년부터 2026년까지 진화 Part 2
보기
탐지할 IOCs (HashSha256): APT28 PixyNetLoader 추적: 2024년부터 2026년까지 진화 Part 1
보기
탐지할 IOCs (HashMd5): APT28 PixyNetLoader 추적: 2024년부터 2026년까지 진화
보기
PixyNetLoader 스테가노그래피 PNG 파일 탐지 [Windows 파일 이벤트]
보기
시뮬레이션 실행
전제조건: 텔레메트리 및 기준선 사전 점검이 통과해야 합니다.
이유: 이 섹션은 탐지 규칙을 트리거하도록 설계된 적군 기법(TTP)의 정확한 실행을 상세히 설명합니다. 명령어와 내러티브는 식별된 TTP를 직접적으로 반영하고 탐지 논리에 기대되는 정확한 텔레메트리를 생성하는 것을 목표로 해야 합니다.
-
공격 내러티브 & 명령어:
APT28 운영자는 악성 페이로드(예: PowerShell 백도어)를 얻어 맞춤형 스테가노그래피 도구를 사용하여 PNG에 내장합니다. 그 운영자는 그런 다음 잘 만들어진 PNG를 알려진 PixyNetLoader 드롭 위치 중 하나로 복사합니다 (SplashScreen.png). 파일 쓰기는 Sigma 규칙과 일치하는 Windows 보안 감사 이벤트(4663)를 생성하여 경고를 일으킵니다. 공격자는 일반 사용자 데이터와 어울리기 위해 적법한 파일 형식(PNG)을 사용하며, 엔드포인트 백신 서명을 피할 수 있습니다. -
회귀 테스트 스크립트:
# -------------------------------------------------------------- # PixyNetLoader 스테가노그래피 PNG 시뮬레이션 – 탐지를 유도 # -------------------------------------------------------------- # 1. 대상 경로 정의 (모니터링된 세 위치 중 하나 선택) $targetPath = "$env:USERPROFILEMicrosoft OneDrivesetupCacheSplashScreen.png" # 2. 최소 PNG 헤더 빌드 (8바이트) – 실제 공격에서는 # 스테가노그래피적으로 숨겨진 페이로드를 포함합니다. $pngHeader = [byte[]] (0x89,0x50,0x4E,0x47,0x0D,0x0A,0x1A,0x0A) # 3. 가짜 페이로드 추가 (예: base64로 인코딩된 PowerShell 스크립트) $payload = [Text.Encoding]::ASCII.GetBytes( "UE9TVCAiZXhlYyAiY2F0IC5leHQiIiA+ICJQYXlsb2FkIg==" ) # Base64 of: POST "exec "cat .ext"" > "Payload" $fileBytes = $pngHeader + $payload # 4. 작성된 PNG를 대상 위치로 기록 [IO.File]::WriteAllBytes($targetPath, $fileBytes) Write-Host "Malicious PNG deployed to $targetPath" -
정리 명령어:
# 악성 PNG를 제거하여 호스트 복원 $targetPath = "$env:USERPROFILEMicrosoft OneDrivesetupCacheSplashScreen.png" if (Test-Path $targetPath) { Remove-Item -Path $targetPath -Force Write-Host "Removed $targetPath" } else { Write-Host "File not found – nothing to clean." }