2025년 APT 및 최신 사이버 위협 동향 정리

1. 주요 사이버 위협 동향

• 2024년 하반기 사이버 공격 통계 
  • 서버 해킹: 56% (웹·DB·인프라 공격 집중)
  • 악성코드 감염: 12% (그중 85%가 랜섬웨어)
• 2025년 상반기 주요 트렌드
  • Spear Phishing 고도화 (.txt, .lnk 등 ‘안전’ 인식 확장자 활용)
  • 가짜 소프트웨어 다운로드 페이지 & 광고 노출 통한 유포
  • 해외에서 발견된 위협이 빠르게 국내로 유입

---

2. APT 공격·사회공학 기법

• 공격 단계: 정보 수집 → 접근 확보 → 권한 상승 → 지속성 확보
• 주요 특징
  • 사회공학: 사용자의 심리를 이용한 초기 접근 (클릭 유도, 보안 경고 위장)
  • ClickFix 기법
    • 피해자가 보안 경고·알림창을 클릭해 PowerShell 등 명령을 직접 실행하도록 유도
    • OS 취약점 없이도 공격 가능
    • 다국어 PDF, 난독화, 스케줄러 등록 등으로 탐지 회피 및 지속성 확보
    • 악성코드 및 도구
      • BabyShark : Kimsuky의 대표 스크립트 기반 악성코드 시리즈
      • .vbs 악성 스크립트 : C2연결, 정보 수집 및 스케줄러 등록 기능 포함
      • .lnk 파일(Edge 아이콘 위장) : 사용자 클릭 유도용 단축 실행 파일, 즉 사회 공학 기법
      • AutoIt 스크립트 (HncUpdateTray.exe) : 사용자 정보 탈취 목적 실행 파일
      • QuasarRAT : ClickFix 캠페인에서 최종적으로 사용된 원격 제어·정보 탈취 악성코드.
        .vbs, .lnk, AutoIt 스크립트는 QuasarRAT을 설치·실행하거나, 정보 탈취·사용자 유도 등 보조 기능을 수행하는 단계별 도구로 활용됨.
•  결론: 북한의 APT 그룹 Kimsuky는 ClickFix 기법을 이용해 사용자가 Powershell 명령을                                                   직접 입력하도록 유도하는 전술을 수행했다.

---

3 .LNK 활용 공격 (Spear Phishing)

• 공격 흐름
  1. 사용자가 LNK 클릭
  2. PowerShell 명령 실행 → CAB 압축 해제
  3. 악성 스크립트 자동 실행 → 정보 탈취·추가 악성코드 설치
• 디코이 파일: 정상 문서처럼 위장, 공격 성공 후 열려도 영향 없음
• 보안적 시사
  • 확장자 확인 (.doc.lnk 형태 주의)
  • PowerShell 실행 정책 제한
  • 개인 PC는 .ps1, .vbs 실행 전 반드시 확인

---

4. BPFdoor 공격

• 공격 과정
  1. BPF 필터 등록 
     • 커널에 특정 조건(IP, 매직 패턴)만 허용하는 필터 심기
     • 조건에 맞는 패킷만 백도어로 전달
     • 조건에 맞는 패킷만 백도어로 전달하고, 나머지는 무시하여 시스템과 보안 솔루션에는 포트가 닫혀 있는 것처럼 인식
     • 핵심: 커널 영역에서 처리되므로 포트 열림 여부와 관계없이 은폐 가능
  2. 매직 넘버 포함 패킷 수신 시 공격자 인식
     • 필터 조건을 만족하는 패킷 도착 시 백도어 활성화
  3. 리버스 커넥션으로 C2 연결
     • 포트 개방 여부와 상관없이 공격자와 연결하여 원격 명령 수행 가능
  4. 원격 명령 실행 (포트 개방 여부 무관)
     • 데이터 수집, 시스템 제어, 추가 악성코드 설치
     • 흔적 최소화, 은폐 지속
• 특징
  • 커널 수준에서 패킷 필터링 → 탐지 어려움
  • 은폐 + 선택적 응답 + 자동화가 핵심 전략
  • 포트 스캔이나 일반 트래픽 분석만으로는 백도어 존재를 알기 어려움

---

5. PAM 악성 모듈·Preload 공격

• PAM 개요
  • 리눅스·유닉스 인증 프레임워크
  • su, sudo, sshd 등 서비스별 인증 로직을 모듈화하여 처리
  • 서비스 프로그램은 PAM 모듈에게 “이 사용자가 인증 가능한가?”라는 요청만 전달
  • 모듈 내부에서 실제 인증 정보 확인 → 서비스는 파일 접근 불필요
• 공격 유형
  • 모듈 교체: 정상 PAM 모듈을 악성코드로 대체, 설정 수정
  • Preload 후킹: 파일 변경 없이 라이브러리 강제 로드 → 인증 정보 탈취
• 대응
  • 모듈 무결성확인 :  /lib/security/ 모듈 해시값 정기 점검
  • 설정 변경 감시 : /etc/pam.d/ 설정 변경 모니터링
  • 계정 활동 감사 : root 계정 사용 이력 감사
  • EDR 이벤트 활용 : EDR에서 PAM 모듈 등록 이벤트 알림 활용

---

6. 현대 공격 트렌드

시대	대표 공격 방식	특징
2000년대 초	DDOS, 웹 사이트 deface(낙서)	단순 과시, 서비스 불능 유도
2010년대	랜섬웨어, 정보 탈취형 APT	금전적 동기 본격화
2020년대	공급망 공격, 내부망 장기 침투	은밀히 침투 → 정보/금전/지적재산 빼가기

• 전략 변화 이유
  1. 탐지 회피 : 정상 트래픽·정상 프로세스 위장
  2. 장기 침투 : 수개월~1년 이상 내부 잠복
  3. 경제적 효율 : 데이터 탈취·지적재산 유출이 더 큰 가치

---

7. 참고 자료 

• ASEC(AhnLab Security Intelligence Center) - APT 공격 동향 보고서
• ASEC - 클릭픽스와 bpfdoor까지, 25년 사이버 위협 동향