ZDI-CAN-25373, 윈도우 .lnk 파일 UI 위조 취약점 악용 APT 캠페인 분석

ZDI-CAN-25373 Windows Shortcut Exploit Abused as Zero-Day in Widespread APT Campaigns

ZDI-CAN-25373 Windows Shortcut Exploit Abused as Zero-Day in Widespread APT Campaigns

 

• 취약점 개요
  • ZDI-CAN-25373은 윈도우 .lnk(Shell Link) 파일의 UI 표시 취약점으로, 공격자가 명령어 인자를 숨겨 사용자 모르게 악성 명령을 실행 가능
  • 사용자 인터페이스에서 명령어가 숨겨지도록 스페이스, 탭, 개행 등 공백 문자로 패딩 처리하여 피해자가 악의적 명령어를 인식하지 못하게 구성
  • CWE-451(User Interface Misrepresentation of Critical Information)에 해당하는 UI 기반의 오인 유발 취약점
• 위협 행위자 및 악용 현황
  • 북한, 러시아, 이란, 중국 등 국가 배후 APT 그룹 11개 이상이 본 취약점을 사이버 스파이 활동에 활용
  • 2017년부터 광범위하게 악용되었으며, 1,000개 이상의 악성 .lnk 샘플이 탐지됨
  • 북한 연계 Earth Manticore(APT37), Earth Imp(Konni) 등은 대용량 .lnk 파일에 대량 공백을 삽입하여 분석 회피 시도
• 악용 방식 및 기술 세부사항
  • .lnk 파일의 ShellLinkHeader, LinkFlags, Command_Line_Arguments, Icon_Location 구조를 조작하여 악성 명령 실행
  • HasArguments 플래그 설정 시 Target 필드에 추가 명령어 삽입 가능
  • cmd.exe, powershell.exe, wscript.exe 등 LOLBin을 활용한 페이로드 실행
  • .lnk 아이콘 위장을 통해 .pdf.lnk, .doc.lnk 등으로 사용자 클릭 유도
  • 악성 .lnk 파일 분석 시 hex 편집기에서 공백(\x20), 수직탭(\x0B), 개행(\x0A), 캐리지리턴(\x0D) 등이 과도하게 포함됨
• 공격 대상 및 피해 범위
  • 정부기관, 금융기관, 국방, 통신, 에너지, NGO 등 고위험 인프라 집중 타깃
  • 북미, 유럽, 아시아, 남미, 호주 등 광범위한 지역에서 피해 보고
  • 공격의 약 70%는 정보탈취 및 정찰 목적, 20% 이상은 금전적 이익 추구 목적
• 관련 악성코드 및 IoC
  • Raspberry Robin, Konni, AsyncRAT 등 다양한 로더 및 RAT와 연계
  • 일부 MaaS(Malware-as-a-Service) 인프라에서 동일한 취약점 이용 탐지됨
  • IoC 및 헌팅 룰은 Trend Vision One을 통해 확인 가능
    • YARA 탐지 룰 제공 (특정 패딩 패턴 기반)
    • cmd.exe, powershell.exe의 .lnk 기반 실행 이벤트 탐지 쿼리 제공
• 보안 권고
  • Trend Micro 제품 사용자 대상 탐지 룰 이미 배포됨 (TippingPoint, DDI, Deep Security 등)
  • MS는 본 취약점을 현재까지 '저위험'으로 분류하여 패치 계획 없음
  • .lnk 파일 수신 시 주의 필요하며, 사용자는 확장자 표시 기능을 활성화하고 의심 파일을 실행하지 말아야 함
  • 보안 솔루션에 커스텀 YARA 룰, LNK 기반 실행 로그 탐지 기능 도입 권고
  • APT 위협에 대응하기 위한 XDR 및 SOAR 기반의 탐지-대응 체계 강화 필요