2025년 8월 APT 공격 동향 보고서(국내)

개요

 

안랩은 자사 인프라를 활용하여 국내 타겟의 APT(Advanced Persistent Threat) 공격에 대한 모니터링을 진행하고 있다. 본 보고서에는 2025년 8월 한 달 동안 확인된 APT 국내 공격에 대한 분류 및 통계를 다루며, 유형별 기능을 소개한다.
 

그림 1. 2025년 8월 APT 국내 공격 통계

국내에서 확인된 APT 공격의 대부분은 Spear Phishing 방식으로 유포된 것으로 나타났다. 특히 2025년 8월에는 Spear Phishing 중에서도 LNK 파일을 활용한 공격이 가장 큰 비중을 차지했다.

 

APT 국내 공격 동향

2025년 8월에 확인된 APT 국내 공격의 침투 유형별 사례 및 기능은 다음과 같다.

 

1)  Spear Phishing

Spear Phishing이란, 특정 개인이나 집단을 대상으로 하는 피싱 공격의 일종이다. 일반적인 피싱과 달리, 공격자는 공격을 수행하기 전 정찰 단계를 통해 공격 대상자에 대한 정보를 수집하고 파악한다. 공격자는 수집된 정보를 활용하여 피싱 이메일을 제작하기 때문에 해당 메일을 수신 받은 사용자는 신뢰할 수 있는 이메일로 판단할 확률이 높다. 또한, 이메일 스푸핑을 통해 발신자 주소를 위조하는 사례도 존재하며, 대부분의 Spear Phishing은 이메일 내 악성 첨부 파일 또는 악성 링크를 포함 후 사용자의 실행을 유도한다.

 

해당 기법을 활용하여 유포된 유형은 다음과 같다.

 

1.1 LNK를 활용한 공격

Type A

해당 유형은 여러 악성 스크립트가 압축된 CAB 파일을 생성하여 정보 유출 및 추가 악성코드를 다운로드하는 유형이다. 유포 파일인 LNK에는 악성 파워쉘 명령어가 포함되어 있다. 이를 통해 LNK 파일 내부에 존재하는 CAB 파일 및 디코이 문서 데이터를 추출하여 사용자 PC에 생성한다. 이후 CAB 파일을 압축 해제하여 내부에 포함된 다수의 스크립트(bat, ps1, vbs 등) 파일을 실행한다. 실행된 스크립트 파일은 사용자 PC 정보 유출, 추가 파일 다운로드 등의 악성 행위를 수행할 수 있다.

 

확인된 파일명은 다음과 같다.
 

파일명

#1. 주주사실확인서.docx.lnk

쟁글_토큰_메트릭스_락업_유통량.xlsx.lnk

미신고 자금출처 해명자료 제출 안내.hwp.lnk

표 1. 확인된 파일명

 

 

사용자가 정상 파일을 실행한 것처럼 보이게 하기 위한 디코이 파일은 다음과 같다.

 

그림 2. 확인된 디코이 파일

 

Type B

 

해당 유형은 RAT 악성코드를 실행하는 유형이다. 주로 압축 파일 형태로 정상 파일과 함께 유포되는 것으로 확인되며, 유포가 확인된 LNK에는 악성 파워쉘 명령어가 포함되어 있다. DropBox API 또는 Google Drive를 활용하여 악성코드를 다운로드하거나 “%PUBLIC%” 등 사용자 PC에 추가 스크립트 파일과 난독화된 RAT 악성코드를 생성한다. 최종적으로 실행되는 RAT 악성코드는 키로깅, 화면 캡처 등 공격자의 명령에 따라 다양한 악성 행위를 수행한다. 확인된 RAT 유형으로는 XenoRAT, RoKRAT 등이 있다.

 

확인된 파일명은 다음과 같다.
 

파일명

***내과_한**_20250825.lnk

최근 북한의 정세와 한반도 통일환경의 변화.lnk

★프로필_이**_동북아공동체문화재단(2024.8.29).lnk

김정은의 꽃놀이패, 우-러 전쟁.lnk

email_1755841203079.lnk

미국 uc 버클리대 **교수 서울대 국가미래전략원 강연(8.19).lnk

위임장(최** 신분증 포함).hwp.lnk

***, negotiation studies. 2025. vol. 28-1.lnk

가족역동을통해바로본나와가족.lnk

2025-1차 21세기연구원 국방정책세미나(2025.7.11) – 발송.lnk

(월간 kima) 4-1 미래전쟁에서 전술제대 드론 우위 확보의 함의(최종).lnk

직무유기 1교.lnk

개헌시 안보법 영향 연구-통합연.lnk

한국협상학회의 협상연구.lnk

해우회 소식지(2025.7월호).lnk

국가정보연구회 소식지(52호).lnk

표 2. 확인된 파일명
 

 

 

MD5

01723fd6f54a4106069bc32e4a61d82c

08ea68fba0a2bed73b44d962712d0371

0bbf8df4cf217524d1500884bf7da0bc

0d621ff3b6cf5384643a828f6b34ed6c

0d8cd39cb89536c00cec00cf2e669654

URL

http[:]//auth[.]wizvera[.]o-r[.]kr/index[.]php

http[:]//female-disorder-beta-metropolitan[.]trycloudflare[.]com/index[.]php

https[:]//authlobby[.]site/auth1/css[.]php?na=fmb

https[:]//authlobby[.]site/auth1/css[.]php?na=fmp

https[:]//authlobby[.]site/auth1/demo[.]php?ccs=cin

IP

174[.]138[.]186[.]157

213[.]145[.]86[.]223

77[.]246[.]101[.]72