lazarusholic

2026-04-01, Ahnlab
https://asec.ahnlab.com/ko/93150/
#Kimsuky #LNK

파이썬 기반 백도어를 유포하는 악성 LNK 및 유포 방식의 변화 (Kimsuky 그룹)
개요
AhnLab SEcurity intelligence Center(ASEC)은 최근 Kimsuky 그룹의 악성 LNK 파일 유포 방식에서 변화가 발생한 것을 확인했다. 악성 LNK를 통해 최종적으로 파이썬 기반 백도어 또는 다운로더가 실행되는 전체적인 공격 흐름은 이전과 동일하게 유지되고 있다. 그러나 중간 실행 단계에서 기존과는 다른 구조적 변화가 관찰되었다는 점이 특징적이다.
| 구분 | 과거 유포 방식 | 최근 유포 방식 |
|---|---|---|
| 초기 실행 | LNK → PowerShell → BAT | LNK → PowerShell → 디코이·XML·PS1·VBS 생성 |
| 중간 단계 | BAT 단독 실행 | XML → VBS → PS1 → BAT |
| 파일 다운로드 | ZIP, 디코이 파일 다운로드 | ZIP 파일 다운로드 |
| ZIP 내부 구성 | Python 스크립트, Python Interpreter, XML 스케줄러 파일 | Python 스크립트, Python Interpreter, XML 스케줄러 파일 |
| 최종 실행 | XML에 의해 Python 스크립트 실행 → 파이썬 백도어 다운로드 및 실행 | XML에 의해 파이썬 백도어 실행 |
| 특징 …

https://qugesr.online/m/bDw
https://quickcon.store/man/logo.php?au=beauty.part001
https://asec.ahnlab.com/ko/88419/
https://qugesr.online/dwparts_view/view.php?in=comm.part000
https://qugesr.online/dwparts_view/view.php?in=normal
https://qugesr.online/dwparts_view/view.php?in=comm.part001
https://quickcon.store/man/logo.php?au=beauty.part000
http://45.95.186.232:8080
45.95.186.232