"악성코드 유포되니 바로가기(lnk) 파일 조심하세요"

북한 해킹 조직 윈도우 바로가기 파일로 유포
안랩 "다양한 파일로 유통되니 각별히 주의해야"
  • 등록 2023-04-23 오후 5:36:39

    수정 2023-04-23 오후 5:44:44

[이데일리 강민구 기자] 북한 해킹 조직으로 추정되는 조직이 윈도우 바로가기 파일을 이용해 악성 코드를 유포하고 있어 주의가 요구된다.

23일 안랩에 따르면 RedEyes 공격그룹이 최근 ‘바로가기(lnk)’ 파일을 통해 록랫(RoKRAT) 악성코드를 유포하고 있다. 바로가기 파일을 통해 PDF 아이콘으로 위장해 악성코드를 심는 방식이다. 이를 통해 사용자 정보를 수집하고, 추가 악성코드를 내려받을 수 있다.

특히 이 파일은 파워쉘 명령어(마이크로소프트에서 개발한 명령어, 윈도우 환경에서 사용자를 관리하고 자동화등의 작업을 수행할때 사용)를 내부에 포함하고 있고, 임시폴더 경로에 정상 파일과 함께 스크립트 파일을 생성하고, 실행해 악성행위를 하는 것으로 나타났다.

안랩이 그동안 확인한 lnk 파일명은 △230407정보지.lnk △2023년도 4월 29일 세미나.lnk △2023년도 개인평가 실시.hwp.lnk △북 외교관 선발파견 및 해외공관.lnk △북한외교정책결정과정.lnk 등이다.

한편, RedEyes는 북한 정부의 지원을 받는 해킹 조직으로 국내 금융 보안 기업 보안메일을 사칭한 CHM 악성코드를 유포했다. 스카크러프트, APT37이라고도 불린다.

안랩은 “록랫 악성코드는 과거부터 꾸준히 유포되고 있으며 워드 문서뿐만 아니라 다양한 형식의 파일을 통해 유포되는 만큼 사용자의 각별한 주의가 필요하다”고 밝혔다.

lnk 파일 속성.(사진=안랩)


이데일리
추천 뉴스by Taboola

당신을 위한
맞춤 뉴스by Dable

소셜 댓글

많이 본 뉴스

바이오 투자 길라잡이 팜이데일리

왼쪽 오른쪽

스무살의 설레임 스냅타임

왼쪽 오른쪽

재미에 지식을 더하다 영상+

왼쪽 오른쪽

두근두근 핫포토

  • ‘아파트’ 로제 귀국
  • "여자가 만만해?" 무슨 일
  • 여신의 등장
  • 표정부자 다승왕
왼쪽 오른쪽

04517 서울시 중구 통일로 92 케이지타워 18F, 19F 이데일리

대표전화 02-3772-0114 I 이메일 webmaster@edaily.co.krI 사업자번호 107-81-75795

등록번호 서울 아 00090 I 등록일자 2005.10.25 I 회장 곽재선 I 발행·편집인 이익원 I 청소년보호책임자 고규대

ⓒ 이데일리. All rights reserved