개요

안랩은 2026년 3월 한 달간 국내 타깃을 대상으로 한 APT 공격을 모니터링했다. 대부분의 공격은 특정 대상에 대한 정찰 후 발송된 Spear Phishing 이메일을 통해 시작되었다.

APT 국내 공격 동향

대부분의 유포 매개체는 바로가기(.lnk) 파일이며 LNK 기반 공격 비중이 가장 높았다. Type A는 LNK로 파워쉘을 실행해 curl.exe 복사본으로 AutoIt 악성코드를 다운로드·실행하고 작업 스케줄러로 지속성을 확보하는 방식이다. Type B는 기본 curl.exe로 악성 HTA를 %TEMP%에 내려받아 디코이와 sys.dll 기반 인포스틸러·키로거·메모리 로드형 백도어를 실행하는 방식이다. Type C는 Base64 인코딩된 스크립트를 생성해 Github에서 디코이와 추가 스크립트를 내려받아 XenoRAT 계열 악성코드를 배포하는 방식이다. Type D는 XML·VBS·파워쉘·BAT·파이썬으로 이어지는 다단계 실행으로 원격 명령 수행 및 파일 제어가 가능한 백도어를 설치하는 방식이다. Type E는 JSE로 %ProgramData%에 악성 DLL과 디코이를 생성한 뒤 regsvr32.exe로 DLL을 메모리 로드해 백도어 기능을 수행하는 방식이다.

안랩 대응 현황

안랩은 다수의 관련 샘플을 진단명으로 등록하여 탐지·추적 중이며 ASEC에서 위협 그룹 활동을 모니터링하고 있다. 보고서에 다수의 파일명, MD5 해시, 악성 URL/C2 도메인이 포함되어 있으며 변형 미검출 가능성이 존재한다.

결론

공격은 정상 문서·파일로 위장된 다양한 포맷을 통해 발생하며 최종적으로 백도어·인포스틸러·키로거 등을 통해 시스템 제어 탈취와 정보 유출이 발생한다. 출처 불명 이메일과 첨부파일은 주의가 필요하며 운영체제·브라우저·보안제품의 최신 상태 유지는 위협 완화에 도움이 된다.