lazarusholic

Everyday is lazarus.dayβ

계정정보 탈취를 시도하는 피싱 공격 진행 중! 북 배후 추정

2025-01-24, ESTSecurity
https://blog.alyac.co.kr/5519
#Kimsuky #Phishing

Contents

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
최근 전자문서 도착 알림, 회원정보 변경 알림, 약관 위반 알림 등 다양한 주제로 국내 포털사이트 고객센터를 사칭한 피싱 메일이 유포되고 있어 사용자들의 각별한 주의가 필요합니다.
해당 피싱 메일은 ‘작성하신 게시물이 게시중단 처리되어 안내드립니다.’ 라는 제목으로 유포되고 있으며, 실제 공식사이트에서 게시 중단 요청을 접수 받아 진행하는 게시중단 처리 안내 메일과 매우 흡사하게 제작되었습니다.
이메일 내에는 피싱 페이지 주소가 링크된 [확인하러 가기] 버튼이 포함되어 있으며 사용자가 해당 버튼을 클릭하면 공격자가 제작해 둔 피싱 페이지로 접속됩니다.
피싱 페이지는 실제 공식사이트 로그인 페이지와 매우 유사하게 제작되어있으며, 다만 사용자의 아이디 정보가 미리 입력되어 있습니다.
사용자가 피싱 페이지에 비밀번호를 입력하면 비밀번호 오류라는 문구와 함께 재 입력을 요구합니다. 하지만 입력된 사용자 정보는 백그라운드에서 공격자 서버로 전송되며 공격이 종료됩니다.
해당 피싱 메일은 공격자들이 대량으로 피싱 메일을 발송할 때 자주 사용하는 PHPMailer를 통해 발송되었습니다.
ESRC는 최근 발견된 계정정보 탈취를 시도하는 피싱 페이지들에 대한 분석을 진행했으며 다음과 같은 공통점을 발견했습니다.
1) 피싱 페이지에서 사용된 주요 도메인 리스트
피싱 페이지들은 o-r.kr, r-e.kr, p-e.kr 도메인을 사용하였습니다.
o-r.kr, p-e.kr, …