* 출처는 안랩입니다.

최근 ‘국제 안보 정세 평가와 26년 전망 보고서’로 위장한 악성 LNK(바로가기) 파일의 유포 정황이 확인됐다. 해당 파일은 실행 시 파워셸(PowerShell) 스크립트를 단계적으로 내려받아 시스템 정보를 수집하고 외부로 전송한다. 이후 최종적으로 XenoRAT 변종인 MoonPeak 악성코드를 메모리에 로드해 원격 제어 기능을 수행할 수 있다. 이번 공격은 과거 김수키(Kimsuky) 그룹의 LNK 기반 유포 방식과 유사한 특징을 보인다. 감염 흐름과 점검해야 할 항목을 함께 살펴보자.

안랩이 최근 "국제 안보 정세 평가와 26년 전망 보고서"로 위장한 LNK 파일을 통해 악성코드가 유포되는 정황을 확인했다. 확인된 파일명은 다음과 같다.

• 20260121_25년_국제안보정세_평가와_26년_전망.pdf.lnk
  

해당 LNK 파일을 실행하면, 내부에 포함된 난독화된 파워셸 스크립트가 복호화돼 %APPDATA%\firefox.ps1 경로에 저장된 뒤 실행된다. 이후 firefox.ps1 스크립트는 아래 주소에서 정상 디코이 문서를 다운로드해 %TEMP% 경로에 PDF 파일로 저장하고, 사용자가 실제 문서를 열어본 것처럼 보이도록 실행한다.

• 디코이 파일 다운로드:  hxxps://raw.githubusercontent.com/ieesh65e/pongga/main/view[.]pdf
• 저장 파일명: 20260121_25년_국제안보정세_평가와_26년_전망.pdf

[그림 1] 정상 디코이 문서

* 전체내용은 아래에서 확인하세요.

https://www.ahnlab.com/ko/contents/content-center/36085