5월 APT 공격, LNK 유포 64%
- 안랩 2025년 5월 APT 동향에서 LNK 유포가 높은 비중 차지
- CAB내에 Python 포함되는 경우도 확인
지난 5월 한 달간 스피어피싱(Spear Phishing)을 활용한 LNK를 유포한 APT 공격이 두드러졌다.
안랩이 12일 발표한 '2025년 5월 APT 공격 동향 보고서(국내)'에 따르면 지난 한 달 동안 확인된 APT 국내 공격 침투 유형 중 스피어피싱을 활용한 LNK 유포가 64%로 가장 많은 비중을 차지했다. 이어 HWP 11%, JSE 4% 순으로 집계됐다.
공격자는 공격 수행 전 정찰 단계를 통해 공격 대상 정보를 수집, 파악한다. 공격자는 수집된 정보를 활용해 피싱 이메일을 제작하기 때문에 수신자는 신뢰할 확률이 높다. 대부분의 스피어피싱은 이메일 스푸핑을 통해 발신자 주소를 위조하고, 이메일 내 악성파일이나 악성링크를 첨부해 사용자 실행을 유도한다.
주요 사례로는 해외금융계좌 신고서(수정신고).hwp.lnk, 개인정보보호 의무사항 실태점검서.hwp.lnk, 공문_가상자산관련 외부평가위원 위촉 안내.hwp.lnk, 미신고 자금출처 해명자료 제출 안내(부가가치세법 시행규칙).hwp.lnk, 소명자료 제출 안내서.hwp.lnk, 종합소득세 과세표준확정신고 및 납부계산서(소득세법 시행규칙) .hwp.lnk, 토큰 지급 내역 확인서.docx.lnk 등으로 위장해 lnk를 첨부했다.
이 유형은 여러 악성 스크립트가 압축된 CAB 파일을 생성해 정보 유출과 추가 악성코드를 다운로드 받도록 한다. 유포 파일인 LNK에 악성 파워쉘 명령어가 포함됐다. 실행된 스크립트 파일은 사용자 PC 정보 유출, 추가 파일 다운로드 등의 악성 행위를 수행할 수 있다.
다음으로 fw대관료_청구안내.lnk, 겨레얼통일연대 영문사업자등록증명서.pdf.lnk를 첨부한 사례다.
해당 유형은 악성 파이썬 스크립트가 포함된 CAB 파일을 다운로드한다. CAB 파일 내부에는 정상 pythonw.exe와 악성 파이썬 스크립트가 포함된 게 특징이다. 파이썬 스크립트 역시 난독화 돼있으며, 작업 스케줄러에 등록돼 실행된다. 최종적으로 외부 URL에서 추가 악성 파일을 다운로드와 실행해 다양한 악성 행위가 수행 될 수 있다.
Related Materials
- 2024년 05월 APT 공격 동향 보고서(국내) - ASEC , 2024-07-29
- 비상계엄 테마 APT 공격과 Kimsuky 그룹 연관성 분석 - 지니언스 , 2024년
- ASEC 블로그 - AhnLab , 2024-09-02
- 사이버보안 대연합 보고서 - 한국정보보호산업협회 , 2023-11-17
- 사이버보안 대연합 보고서 - 한국정보보호산업협회 , 2023-12-15
- K 메신저로 유포된 'APT37' 그룹의 악성 HWP 사례 분석 - 지니언스 , 2025-02-03
- Webinar 안내장 사칭 APT 공격 포착 - 지니언스 , 2024년
- 2025년 5월 APT 공격 동향 보고서(국내) - ASEC , 2025년 5월
