상세 컨텐츠

본문 제목

계정정보 탈취를 시도하는 피싱 공격 진행 중! 북 배후 추정

악성코드 분석 리포트

by 알약4 2025. 1. 24. 11:51

본문

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 

최근 전자문서 도착 알림, 회원정보 변경 알림, 약관 위반 알림 등 다양한 주제로 국내 포털사이트 고객센터를 사칭한 피싱 메일이 유포되고 있어 사용자들의 각별한 주의가 필요합니다.

 

[그림 1] 정상 메일을 위장한 피싱 메일

 

해당 피싱 메일은 ‘작성하신 게시물이 게시중단 처리되어 안내드립니다.’ 라는 제목으로 유포되고 있으며, 실제 공식사이트에서 게시 중단 요청을 접수 받아 진행하는 게시중단 처리 안내 메일과 매우 흡사하게 제작되었습니다. 

 

[그림 2] 정상 메일 (좌) / 피싱 메일 (우)

 

이메일 내에는 피싱 페이지 주소가 링크된 [확인하러 가기] 버튼이 포함되어 있으며 사용자가 해당 버튼을 클릭하면 공격자가 제작해 둔 피싱 페이지로 접속됩니다.

 

[그림 3] 계정정보 입력 피싱 페이지

 

피싱 페이지는 실제 공식사이트 로그인 페이지와 매우 유사하게 제작되어있으며, 다만 사용자의 아이디 정보가 미리 입력되어 있습니다.

사용자가 피싱 페이지에 비밀번호를 입력하면 비밀번호 오류라는 문구와 함께 재 입력을 요구합니다. 하지만 입력된 사용자 정보는 백그라운드에서 공격자 서버로 전송되며 공격이 종료됩니다.

 

해당 피싱 메일은 공격자들이 대량으로 피싱 메일을 발송할 때 자주 사용하는 PHPMailer를 통해 발송되었습니다.

 

[그림 4] PHPMailer 정보

 

 

ESRC는 최근 발견된 계정정보 탈취를 시도하는 피싱 페이지들에 대한 분석을 진행했으며 다음과 같은 공통점을 발견했습니다.

 

1) 피싱 페이지에서 사용된 주요 도메인 리스트

피싱 페이지들은 o-r.kr, r-e.kr, p-e.kr 도메인을 사용하였습니다.

o-r.kr, p-e.kr, n-e.kr, p-e.kr, r-e.kr, kro.kr 도메인들은 김수키 조직이 공격을 할 때 자주 사용하는 도메인으로 알려져 있으며, 지난 포스팅에서 해당 도메인이 사용된 사례를 확인할 수 있습니다.

 

북 김수키(Kimsuky) 조직의 정책 자문 위장 스피어 피싱 주의!

 

 

2) 네트워크 응답 메시지 문자열

피싱 페이지 도메인에 접속하면 “Million OK!!!!” 메시지를 볼 수 있습니다. Million OK 메시지는 김수키 조직이 사용하는 인프라로 알려져 있습니다.

 

[그림 5] Million OK!!!! 응답 메시지

 

3) 웹 서버 스택 정보

웹 서버 스택 정보가 모두 Apache/2.4.17 (Win32) OpenSSL/1.0.2d PHP/5.6.15로 동일합니다.

 

[그림 6] 웹 서버 스택 정보

 

4) URL 특징

피싱 URL에서 특정 파라미터 및 경로를 사용하는 것을 발견했습니다.

 

hxxps://도메인주소/blog/?wreply=[네이버이메일계정]
&m=hxxps://nid[.]naver.com/nidlogin.login?url=hxxp://mail[.]naver.com/		 hxxp://도메인주소/bloguser/?wreply=[base64로 인코딩 한 이메일주소]
&m=hxxps://nid[.]naver.com/nidlogin.login?url=hxxp://mail[.]naver.com/		 hxxp://도메인주소/bloguser/?q=viewInputPasswdForMyInfo&menu=security&wreply=[base64로 인코딩한 이메일 주소]
&m=hxxps://nid[.]naver.com/nidlogin.login?url=hxxp://mail[.]naver.com/

 

 

위와 같은 정보들을 바탕으로 최근 동일 조직의 의한 공격이 진행 중이며, 해당 공격조직은 북한 배후의 김수키(kimsuky)그룹으로 추정하고 있습니다.

 

사용자 분들께서는 이메일 수신 시 필히 발신자 주소와 접속한 페이지의 URL을 확인하는 습관을 가지셔야 하며, 정상적인 메일의 경우 발신자 주소 앞에 공식 로고가 표시된다는 점을 반드시 기억하시기 바랍니다.

 

만약 이러한 형태의 피싱 메일을 통해 계정정보를 입력한 경우에는 즉시 계정 비밀번호를 변경하시고 2단계 인증 및 타 지역 로그인 제한 등의 추가적인 보안조치 통해 계정도용 등으로 이어질 수 있는 2차 피해를 예방하시기 바랍니다.

 

Ioc

hxxp://checking.cloud.niduser.www.****-*****.o-r.kr/

 

 

 

저작자표시 비영리 변경금지

'악성코드 분석 리포트' 카테고리의 다른 글

업무 협조 요청 메일을 위장하여 유포 중인 악성코드 주의!  (0) 2025.01.16
ESRC 주간 Email 위협 통계 (12월 둘째주)  (0) 2024.12.17
ESRC 주간 Email 위협 통계 (12월 첫째주)  (0) 2024.12.10
ESRC 주간 Email 위협 통계 (11월 셋째주)  (0) 2024.11.26
국내 유명 카드사를 사칭하여 금융정보 탈취를 시도하는 피싱 메일 주의!  (0) 2024.11.26

관련글 더보기

댓글 영역

티스토리툴바