마이크로소프트 제로데이 공격으로 악용된 윈도우 LNK 취약점 완화

마이크로소프트가 다수의 국가 지원 해킹 그룹 및 사이버 범죄 집단이 제로데이 공격으로 악용한 고위험 윈도우 LNK 취약점을 조용히 완화했습니다.
CVE-2025-9491로 추적되는 해당 보안 결함은 공격자가 Windows LNK 파일에 악성 명령을 숨길 수 있게 하여 이를 통해 악성코드를 배포하고 감염된 장치에서 지속성을 확보할 수 있게 합니다.
그러나 이 공격은 잠재적 피해자를 속여 악성 Windows 셸 링크(.lnk) 파일을 열도록 유도해야 하므로 성공하려면 사용자 상호작용이 필요
이메일 플랫폼이 위험성 때문에 .lnk 첨부 파일을 차단하는 경우가 많아서 위협 행위자들은 ZIP 또는 기타 아카이브 형태로 이러한 파일을 배포
해당 취약점은 Windows가 .LNK 파일을 처리하는 방식에 존재하며 위협 행위자들은 운영 체제가 이를 표시하는 방식을 악용하여 탐지를 회피하고 사용자의 인지 없이 취약한 장치에서 코드를 실행할 수 있습니다. 이를 위해 Windows .LNK 파일의 대상(Target) 필드에 공백을 추가하여 악성 명령 줄 인수를 숨깁니다.
이 때문에 추가된 공백 때문에 파일의 대상 필드 속성에 처음 260자만 표시되므로 사용자는 LNK 파일을 더블 클릭할 때 실행되는 실제 명령을 볼 수 없습니다.
트렌드마이크로 위협 분석가들이 2025년 3월에 발견한 바로는 CVE-2025-9491은 이미 Evil Corp, Bitter, APT37,APT43(Kimsuky),Mustang Panda,SideWinder,RedHotel, Konni 등 11개 국가 후원 그룹 및 사이버 범죄 조직에 의해 광범위하게 악용되고 있었습니다.

lnk 파일 악용 예시

트렌드마이크로는 이러한 캠페인에서 Ursnif, Gh0st RAT, Trickbot 등 다양한 악성코드 페이로드와 로더가 추적되었으며, 서비스형 악성코드(MaaS) 플랫폼이 위협 환경을 더욱 복잡하게 만들고 있다고 밝혔습니다.
아크틱 울프 랩스(Arctic Wolf Labs)는 또한 10월에 중국 국가 지원 해킹 그룹 머스탱 팬더(Mustang Panda)가 헝가리, 벨기에 및 기타 유럽 국가들의 유럽 외교관들을 대상으로 한 제로데이 공격에서 이러한 윈도우 취약점을 악용하여 PlugX 원격 접근 트로이 목마(RAT) 악성코드를 배포하고 있다고 보고했습니다.
트렌드 마이크로가 확인한 1,000개 이상의 악성 바로 가기는 우리의 패치로 차단될 수 있지만, 마이크로소프트의 패치는 가장 신중한 사용자들만 전체 악성 명령 문자열을 볼 수 있게 할 뿐입니다. 그런 사용자들은 어차피 그런 바로 가기를 실행하지 않을 가능성이 큽니다. 라고 콜섹은 말했습니다.

아크틱 울프 랩스(Arctic Wolf Labs)는 또한 10월에 중국 국가 지원 해킹 그룹 머스탱 팬더(Mustang Panda)가 헝가리, 벨기에 및 기타 유럽 국가들의 유럽 외교관들을 대상으로 한 제로데이 공격에서 이러한 윈도우 취약점을 악용하여 PlugX 원격 접근 트로이 목마(RAT) 악성코드를 배포하고 있다고 보고했습니다.
트렌드 마이크로가 확인한 1,000개 이상의 악성 바로 가기는 우리의 패치로 차단될 수 있지만, 마이크로소프트의 패치는 가장 신중한 사용자들만 전체 악성 명령 문자열을 볼 수 있게 할 뿐입니다. 그런 사용자들은 어차피 그런 바로 가기를 실행하지 않을 가능성이 큽니다. 라고 콜섹은 말했습니다.
악성 바로 가기는 260자 미만으로 구성될 수 있지만, 실제 공격을 차단하는 것이 표적 대상에게 큰 차이를 만들 수 있다고 믿습니다.
ACROS Security의 비공식 CVE-2025-9491 패치는 지원 종료된 Windows 버전(Windows 7부터 Windows 11 22H2, Windows Server 2008 R2부터 Windows Server 2022)을 사용하는 0patch PRO 또는 엔터프라이즈 계정 사용자에게 제공됩니다.
결론 컴퓨터, 노트북을 사든지 윈도우 업데이트를 하든지 최신 윈도우 를 사용을 하는 것이 제일 안전하게 AV 프로그램(안티바이러스) 프로그램을 사용하는 것을 매우 권장합니다.