오늘 다루는 NovaCX_Agency_Updated_2026047_091100_version_1_8은 정체를 알 수 없는 APT가 만든 악성코드로 보인다. 파일명은 NovaCX_Agency_Updated_2026047_091100_version_1_8.docx.lnk 이고 크기는 1 MB 수준이다. MD5, SHA-1, SHA-256 해시가 제시되며, 디지털 경험 솔루션이나 암호화폐 거래, 드론, 국제 행사 등 다양한 이름을 공유하는 브랜드와의 연관 가능성이 거론된다. 기본 동작은 PowerShell을 악용하는 방식으로, 파일 실행 시 사용자는 창을 보지 못하고 백그라운드에서 악성코드가 동작하도록 설계되어 있다.
먼저 디코이 목적의 DOCX 추출이 이루어진다. 실행 중인 .lnk 파일을 열어 20KB 이후의 데이터를 잘라 DOCX로 저장하고 위치는 %TEMP%\NovaCX_Agency_Updated_2026047_091100_version_1_8.docx다. 0KB~10KB 영역은 LNK 실행, 10KB~20KB 영역은 Startup에 심을 OneDrive.lnk, 20KB 이후부터는 미끼 DOCX 문서로 구성되어 사용자 입장에선 문서가 정상적으로 열려 감염 사실을 눈치채지 못하게 한다. 이후 지속성 확보를 위한 제2 단계가 진행된다.
Startup 폴더에는 원본 LNK의 10KB 지점부터 10KB를 읽어 %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\OneDrive.lnk로 저장한다. 이 위치는 Windows 로그인 시 자동 실행되도록 위장하려는 목적이다. 악성 코드 실행 시 docx 문서 내용이 노출되도록 설계되어 있다. 두 번째 단계로 난독화된 PowerShell 다운로더가 작동하며, 핵심은 hxxp 주소에서 PowerShell 코드를 다운로드한 뒤 최종 실행에 이르는 이중 실행 구조를 가진다. 또한 EncodedCommand를 통한 명령 은닉 및 탐지 회피가 시도되며 Windows Defender 예외 추가 명령(Add-MpPreference -ExclusionPath "$env:windir\System32")를 통해 시스템 경로의 검사 우회를 노린다.
또한 기존 예약 작업을 삭제하고 새로운 지속성 체계를 구축한다. schtasks /delete 로 과거의 Intel(R) Ethernet Connection 1219-LM 계열 작업을 제거한 뒤, Intel(R) Ethernet3 Connection 1219-LM2 등으로 미리보기처럼 보이는 이름의 예약 작업을 생성한다. 이 같은 위장은 정상 장치 관련 작업으로 보이게 만들어 삭제를 어렵게 한다. 시작 시 자동 실행되는 ONSTART 예약 작업과, 5분 주기로 원격 PowerShell을 실행하는 두 번째 예약 작업이 구성된다. 실행 계정은 SYSTEM이며, 트리거는 시스템 시작과 주기적 실행으로 설정된다. 원격으로 파일을 다운로드한 후 실행하는 구조이며, 총체적으로 Defender 예외 우회, 지속성 강화, 위장된 장치명 사용, 주기적 원격 명령 실행 등의 특성을 보인다.
정리하면, 이 악성코드는 LNK를 통해 DOCX를 디코이로 활용하고, Startup 폴더 위장으로 지속성을 확보하며, 난독화된 PowerShell 다운로더로 추가 명령을 실행한다. Windows Defender 예외 추가와 예약 작업 관리로 탐지를 피하고, 부팅 시점과 주기적 실행으로 지속적으로 악성 행위를 수행한다. 이를 통해 수동 점검과 자동화된 보호 체계 강화의 필요성이 강조된다.
