北 해킹 조직, 거래처 업무 메일로 위장한 스피어 피싱 공격 주의!
Contents
안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
최근 거래처 업무메일을 위장한 스피어 피싱 공격이 발견되어 기업 사용자분들의 각별한 주의가 필요합니다.
이번 공격은 이메일 수신자가 거래처와 업무상 메일을 주고 받는 과정 중에 공격자가 회신메일을 보냄으로써 사용자가 의심하지 못하도록 교묘하게 속이는 수법을 사용했습니다. 이를 위해 공격자는 사전에 메일 수신자의 계정을 탈취한 뒤 이메일 수신내역을 확인하는 작업을 진행했을 것으로 유추됩니다.
악성 메일은 ‘정기점검서 송부 건’ 과 ‘노트북 견적 문의’ 에 대한 회신메일에 도용된 계정을 사용하여 발신자명 조작 후 동일한 수신자에게 발송되었습니다.
첫 번째 메일의 경우 먼저 발송된 정상 회신메일과 동일한 내용으로 첨부파일만 교체하여 다시 발송한 것으로 확인되었습니다.
위의 두 가지 악성메일에는 동일하게 내부에 악성 PIF파일이 있는 EGG포맷의 압축파일이 첨부되어 있습니다.
PIF(Program Information File) 파일은 MS-DOS 프로그램 실행을 위한 정보를 담은 파일이며, EXE 확장자와 같은 실행 가능한 파일입니다. 현재는 거의 사용되지 않는 파일이나 탐지 회피를 위해 공격에 사용한 것으로 판단됩니다.
사용자가 첨부파일의 압축을 해제 한 후 내부의 PIF 파일을 실행하면 각각 정기점검서와 노트북 견적서에 해당하는 정상 PDF파일을 띄워 사용자의 의심을 피하고, 백그라운드에서는 IconCashe.tmp.pif 파일을 …
최근 거래처 업무메일을 위장한 스피어 피싱 공격이 발견되어 기업 사용자분들의 각별한 주의가 필요합니다.
이번 공격은 이메일 수신자가 거래처와 업무상 메일을 주고 받는 과정 중에 공격자가 회신메일을 보냄으로써 사용자가 의심하지 못하도록 교묘하게 속이는 수법을 사용했습니다. 이를 위해 공격자는 사전에 메일 수신자의 계정을 탈취한 뒤 이메일 수신내역을 확인하는 작업을 진행했을 것으로 유추됩니다.
악성 메일은 ‘정기점검서 송부 건’ 과 ‘노트북 견적 문의’ 에 대한 회신메일에 도용된 계정을 사용하여 발신자명 조작 후 동일한 수신자에게 발송되었습니다.
첫 번째 메일의 경우 먼저 발송된 정상 회신메일과 동일한 내용으로 첨부파일만 교체하여 다시 발송한 것으로 확인되었습니다.
위의 두 가지 악성메일에는 동일하게 내부에 악성 PIF파일이 있는 EGG포맷의 압축파일이 첨부되어 있습니다.
PIF(Program Information File) 파일은 MS-DOS 프로그램 실행을 위한 정보를 담은 파일이며, EXE 확장자와 같은 실행 가능한 파일입니다. 현재는 거의 사용되지 않는 파일이나 탐지 회피를 위해 공격에 사용한 것으로 판단됩니다.
사용자가 첨부파일의 압축을 해제 한 후 내부의 PIF 파일을 실행하면 각각 정기점검서와 노트북 견적서에 해당하는 정상 PDF파일을 띄워 사용자의 의심을 피하고, 백그라운드에서는 IconCashe.tmp.pif 파일을 …
IoC
7349683077CE4FCAC77580848182EAD9
A5E159BDE52A3BDAC3BAC9056F316C43
832435D00B097339A19C2A8AD7ACA4AA
A5E159BDE52A3BDAC3BAC9056F316C43
832435D00B097339A19C2A8AD7ACA4AA