2026년 4월 APT 공격 동향 보고서(국내)
Contents
2026년 4월 APT 공격 동향 보고서(국내)
개요
안랩은 자사 인프라를 활용해 국내 타겟의 APT(Advanced Persistent Threat, 지속적으로 침투를 시도하는 공격) 공격을 모니터링했다. 본 보고서는 2026년 4월 한 달 동안 확인된 국내 APT 공격의 분류, 통계, 유형별 기능을 정리했다.
APT 국내 공격 동향
국내에서 확인된 APT 공격의 대부분은 Spear Phishing(특정 개인이나 집단을 노린 피싱) 방식으로 유포됐다. 공격자는 이메일 스푸핑, 악성 첨부 파일, 악성 링크를 활용해 사용자의 실행을 유도했다.
Type A
LNK 파일에 포함된 악성 PowerShell(윈도우 명령 실행 스크립트) 명령으로 외부 URL에 접속해 추가 파일을 내려받는 유형이다. curl.exe를 다른 파일명으로 복사해 실행하는 점이 특징이며, 정상 AutoIt 프로그램과 악성 AutoIt 스크립트를 내려받아 작업 스케줄러에 등록해 지속성을 확보했다. 악성 AutoIt 스크립트는 명령 실행, 디렉토리 조회, 파일 업로드, 파일 다운로드 기능을 수행했다.
Type B
LNK 내부의 PowerShell 스크립트가 특정 마커(NCFO, BCFO 등)를 기준으로 HEX 데이터를 추출해 정상 디코이 문서와 정상 AutoIt 프로그램, 악성 AutoIt 스크립트를 복원 및 실행하는 유형이다. 정상 문서로 사용자를 속이는 동시에 C:\ProgramData 경로에서 악성 스크립트를 동작시켰고, 원드라이브 업데이트를 위장한 작업 …
개요
안랩은 자사 인프라를 활용해 국내 타겟의 APT(Advanced Persistent Threat, 지속적으로 침투를 시도하는 공격) 공격을 모니터링했다. 본 보고서는 2026년 4월 한 달 동안 확인된 국내 APT 공격의 분류, 통계, 유형별 기능을 정리했다.
APT 국내 공격 동향
국내에서 확인된 APT 공격의 대부분은 Spear Phishing(특정 개인이나 집단을 노린 피싱) 방식으로 유포됐다. 공격자는 이메일 스푸핑, 악성 첨부 파일, 악성 링크를 활용해 사용자의 실행을 유도했다.
Type A
LNK 파일에 포함된 악성 PowerShell(윈도우 명령 실행 스크립트) 명령으로 외부 URL에 접속해 추가 파일을 내려받는 유형이다. curl.exe를 다른 파일명으로 복사해 실행하는 점이 특징이며, 정상 AutoIt 프로그램과 악성 AutoIt 스크립트를 내려받아 작업 스케줄러에 등록해 지속성을 확보했다. 악성 AutoIt 스크립트는 명령 실행, 디렉토리 조회, 파일 업로드, 파일 다운로드 기능을 수행했다.
Type B
LNK 내부의 PowerShell 스크립트가 특정 마커(NCFO, BCFO 등)를 기준으로 HEX 데이터를 추출해 정상 디코이 문서와 정상 AutoIt 프로그램, 악성 AutoIt 스크립트를 복원 및 실행하는 유형이다. 정상 문서로 사용자를 속이는 동시에 C:\ProgramData 경로에서 악성 스크립트를 동작시켰고, 원드라이브 업데이트를 위장한 작업 …