首页 / 资讯 / 行业动态 / APT-C-20团伙升级隐写攻击,PNG图片内嵌Shellcode绕过终端安全检测

APT-C-20团伙升级隐写攻击,PNG图片内嵌Shellcode绕过终端安全检测

时间:2026-07-12 12:20:21 来源:51DNS.COM
分享:

海外网络安全媒体cybersecuritynews发布高危APT预警,APT-C-20黑客组织更新攻击链路,使用图片隐写技术,把恶意Shellcode载荷隐藏在PNG图片文件中,规避杀毒软件、EDR静态特征检测,定向窃取政企、科研机构涉密资料。

该团伙长期针对国内涉外企业、科研院所、制造业研发单位开展长期间谍窃密活动,以往主要依靠钓鱼宏文档、木马程序入侵终端。本次新攻击手段大幅提升隐蔽性,普通图片文件难以引起员工与安全设备警惕,落地后可实现内存无文件执行,传统终端防护手段极易失效。

从攻击链路来看,攻击者通过钓鱼邮件、企业IM、业务素材包传递携带恶意代码的PNG图片,配合配套解析脚本提取图片内隐藏Shellcode,在内存中运行远控逻辑,全程不落地可执行文件,大幅降低被查杀概率。

隐写攻击

一、PNG图片隐写Shellcode核心攻击原理

本次APT-C-20使用的隐写技术,利用PNG图片像素冗余数据存储二进制Shellcode,核心流程分为三步:

1、载荷封装:黑客将加密后的恶意Shellcode嵌入PNG图片像素低位通道,图片外观无任何变化,预览、查看图片不会出现异常。

2、本地提取执行:借助VBS、PowerShell脚本读取图片像素数据,解密还原完整Shellcode;

3、内存无文件运行:直接在进程内存中释放恶意代码,不生成exe、dll等可执行文件,规避静态病毒库扫描。
常规杀毒仅扫描文件头部、可执行特征,无法识别图片中隐藏的恶意载荷,只有具备动态行为分析、内存检测能力的EDR才能识别该类攻击行为。

二、APT-C-20图片隐写攻击带来的安全危害

1、终端长期潜伏窃密
Shellcode执行后加载远控功能,持续记录键盘输入、截取屏幕、抓取浏览器账号凭证、全盘检索涉密文档,定期回传至境外C2服务器。

2、内网横向渗透扩散
入侵单台办公终端后,枚举内网域账号、共享磁盘,向财务、研发服务器发起横向移动,批量窃取商业机密与研发图纸。

3、绕过现有终端防护体系
免费杀毒、基础安全软件缺少隐写行为检测能力,仅依靠文件特征查杀,无法拦截PNG隐写类无文件攻击。

4、溯源取证难度大幅提升
恶意载荷藏于图片素材,入侵后删除脚本即可销毁大部分痕迹,常规日志很难完整还原攻击全过程,事后排查取证成本极高。


三、高风险单位自查清单

1、经常接收外部合作方图片素材、设计PNG文件的研发、商务、设计岗位。

2、频繁接收境外邮件、海外客户附件的外贸、涉外企业。

3、科研院所、高端制造企业,存在大量图纸、项目文档等涉密资产。

4、内网未部署EDR内存行为检测,仅依靠免费杀毒软件防护终端。


四、行业总结

APT-C-20团伙使用PNG图片藏匿Shellcode,标志APT间谍攻击从传统木马转向无文件隐写体系,图片、素材等日常文件成为新型攻击载体。

政企单位不能仅依靠传统病毒查杀防御APT攻击,必须搭建“网关检测+终端内存监控+员工安全培训”三位一体防护体系。针对外部传入图片素材建立标准化检测流程,及时拦截图片隐写攻击,避免核心涉密数据被APT组织长期窃取。

关键词:

在线咨询

联系我们