김수키(Kimsuky) 해킹 주의! [국세청] 4월 신고·납부기한 변동통지서 도착-지금 확인하세요(2025.4.15)
Contents
오늘은 북한 해킹 단체 김수키(Kimsuky) 에서 [국세청] 4월 신고·납부기한 변동통지서 도착-지금 확인하세요 라는 메일로 피싱 사이트로 유도해서 네이버 계정 정보를 훔치는 피싱 메일에 대해서 글을 적어 보겠습니다.
파일명: 1.메일 원문.eml
사이즈:1 MB
MD5:0b554154078fdba15f0efe13c22ffea6
SHA-1:f72c46652c56cf5afe7315198853ef32da129c9d
SHA-256:12073a6bae57349155e4c91e870a9b23568d63bbd70ba43a4a0a8cb9affabb08
일단 제목을 보면 세무통지서 <mailsender2024@mail(.)ru>
[국세청] 4월 신고 납부기한 변동통지서가 도착했어요.
발송기관 국세청
전자문서 종류 4월 신고 납부기한 변동통지서
인증기한 2025-04-30 23:59까지
기한 내 열람하지 않으면 발송기관 정책에 따라 다른 수단(종이 우편, SMS/LMS 등) 또는 다른 채널(타사앱)로 발송됩니다.
기관에서 정식 발송된 문서는
네이버앱 Na. 전자문서에 표시됩니다. 인 것을 확인할 수가 있습니다.
해당 클릭을 눌러주면 다음 사이트로 이동됩니다.
hxxp://e-info(.)completeinfo(.)kro(.)kr/nts/?m=https%3A%2(F)%2Fnid.naver(.)com%2Fnidlo
gin(.)login%3Furl%3Dhttp%253A%252F%252Fmail(.)naver(.)com%25
2F&wreply=?????@naver(.)com
입니다.
해당 사이트에 이동하면 아이디는 입력돼 있고 비밀번호만 입력하면 되는 형식을 취하는 전형적인 피싱(phishing) 사이트 인 것을 확인할 수가 있습니다.
피싱 메일 분석
1. ARC(Authenticated Received Chain) 구조 분석
ARC란?
ARC는 이메일이 전달되는 과정에서 SPF, DKIM, DMARC 같은 인증 결과를 다음 중계 서버에게 전달 보증하는 방식
주로 Gmail, Outlook 등에서 사용되며 이메일을 중계하는 서버들이 인증정보를 담고 있음
i=1 ARC 체인의 순서 해당 이메일은 ARC 체인 중 첫 번째 즉 첫 중계 서버에서 생성됨
a=rsa-sha256:암호화 알고리즘 보안에 적합한 SHA-256 사용
d=naver(.)com ARC에 서명한 …
파일명: 1.메일 원문.eml
사이즈:1 MB
MD5:0b554154078fdba15f0efe13c22ffea6
SHA-1:f72c46652c56cf5afe7315198853ef32da129c9d
SHA-256:12073a6bae57349155e4c91e870a9b23568d63bbd70ba43a4a0a8cb9affabb08
일단 제목을 보면 세무통지서 <mailsender2024@mail(.)ru>
[국세청] 4월 신고 납부기한 변동통지서가 도착했어요.
발송기관 국세청
전자문서 종류 4월 신고 납부기한 변동통지서
인증기한 2025-04-30 23:59까지
기한 내 열람하지 않으면 발송기관 정책에 따라 다른 수단(종이 우편, SMS/LMS 등) 또는 다른 채널(타사앱)로 발송됩니다.
기관에서 정식 발송된 문서는
네이버앱 Na. 전자문서에 표시됩니다. 인 것을 확인할 수가 있습니다.
해당 클릭을 눌러주면 다음 사이트로 이동됩니다.
hxxp://e-info(.)completeinfo(.)kro(.)kr/nts/?m=https%3A%2(F)%2Fnid.naver(.)com%2Fnidlo
gin(.)login%3Furl%3Dhttp%253A%252F%252Fmail(.)naver(.)com%25
2F&wreply=?????@naver(.)com
입니다.
해당 사이트에 이동하면 아이디는 입력돼 있고 비밀번호만 입력하면 되는 형식을 취하는 전형적인 피싱(phishing) 사이트 인 것을 확인할 수가 있습니다.
피싱 메일 분석
1. ARC(Authenticated Received Chain) 구조 분석
ARC란?
ARC는 이메일이 전달되는 과정에서 SPF, DKIM, DMARC 같은 인증 결과를 다음 중계 서버에게 전달 보증하는 방식
주로 Gmail, Outlook 등에서 사용되며 이메일을 중계하는 서버들이 인증정보를 담고 있음
i=1 ARC 체인의 순서 해당 이메일은 ARC 체인 중 첫 번째 즉 첫 중계 서버에서 생성됨
a=rsa-sha256:암호화 알고리즘 보안에 적합한 SHA-256 사용
d=naver(.)com ARC에 서명한 …
IoC
0b554154078fdba15f0efe13c22ffea6
12073a6bae57349155e4c91e870a9b23568d63bbd70ba43a4a0a8cb9affabb08
f72c46652c56cf5afe7315198853ef32da129c9d
12073a6bae57349155e4c91e870a9b23568d63bbd70ba43a4a0a8cb9affabb08
f72c46652c56cf5afe7315198853ef32da129c9d