* 출처는 안랩입니다.
최근 ‘국제 안보 정세 평가와 26년 전망 보고서’로 위장한 악성 LNK(바로가기) 파일의 유포 정황이 확인됐다. 해당 파일은 실행 시 파워셸(PowerShell) 스크립트를 단계적으로 내려받아 시스템 정보를 수집하고 외부로 전송한다. 이후 최종적으로 XenoRAT 변종인 MoonPeak 악성코드를 메모리에 로드해 원격 제어 기능을 수행할 수 있다. 이번 공격은 과거 김수키(Kimsuky) 그룹의 LNK 기반 유포 방식과 유사한 특징을 보인다. 감염 흐름과 점검해야 할 항목을 함께 살펴보자.
안랩이 최근 "국제 안보 정세 평가와 26년 전망 보고서"로 위장한 LNK 파일을 통해 악성코드가 유포되는 정황을 확인했다. 확인된 파일명은 다음과 같다.
- 20260121_25년_국제안보정세_평가와_26년_전망.pdf.lnk
해당 LNK 파일을 실행하면, 내부에 포함된 난독화된 파워셸 스크립트가 복호화돼 %APPDATA%\firefox.ps1 경로에 저장된 뒤 실행된다. 이후 firefox.ps1 스크립트는 아래 주소에서 정상 디코이 문서를 다운로드해 %TEMP% 경로에 PDF 파일로 저장하고, 사용자가 실제 문서를 열어본 것처럼 보이도록 실행한다.
- 디코이 파일 다운로드: hxxps://raw.githubusercontent.com/ieesh65e/pongga/main/view[.]pdf
- 저장 파일명: 20260121_25년_국제안보정세_평가와_26년_전망.pdf
[그림 1] 정상 디코이 문서
* 전체내용은 아래에서 확인하세요.
![[꿀템 농장] 무선 다리미 수령!!](https://img.danawa.com/images/attachFiles/6/980/5979953_18.jpg?fitting=Large|140:105&crop=140:105;*,*)
![가볍게! 빠르게! 1.12kg 초경량 14인치 노트북! LG전자 2026 그램14 14ZD95U-GX5WK [노리다]](https://img.danawa.com/images/attachFiles/6/980/5979525_1.jpeg?shrink=320:180)
