북한 해킹 조직 김수키(Kimsuky)에서 만든 연세 대학교 피싱 사이트-drive yonsei ackr(2024.9.10)
Contents
오늘은 연세 대학교 대학생들을 노리는 것으로 추측되는 북한에서 만든 피싱 사이트에 대해 글을 적어 보겠습니다.
연세대학교는 1885년 설립된 광혜원(제중원) 과 1915년 설립된 조선기독교대학에 연원을 두고 있으며 조선기독교대학을 모체로 하는 연희전문학교는 1946년에 연희대학교로 승격 광혜원을 모체로 하는 세브란스의학전문학교는 1947년에 세브란스의과대학으로 승격 1957년에 연희대학교와 세브란스의과대학이 통합하여 연세대학교가 된 대학교인 연세대 대학생을 공격하는 피싱 사이트 에 대해 글을 적어 보겠습니다.
피싱 사이트
hxxps://drive-yonsei-ac-kr(.)bit-albania(.)com/kelley/chrome/continue(.)php
일단 보면 주소를 보면 피싱 사이트는 정말 쓸데없게 구성이 돼 있는 것을 확인할 수가 있습니다. 사이트에 접속을 해보면 정말 쓸데없는 하게 만든 것을 확인할 수가 있습니다. 마치 구글 크롬 브라우저에서 접속하는 것처럼 보이지만 실제로는 다를 것을 확인할 수가 있으며 그리고 구글 크롬에서 있는 브라우저 주소는 다음과 같습니다.
hxxps://accounts(.)google(.)com/signin/v2/sl/pwd?passive=120960(0)&co
ntinue=hxxps://accounts(.)google(.)com/ManageAccount&followup=hxxps://
accounts(.)google(.)com/ManageAccount&flowName=GlifWebSignI(n)&flowEnt
ry=AddSessio(n)&ci
d=0&navigat(i)onDirection=forward
인 것을 확인할 수가 있습니다.
피싱 사이트 웹 소스는 다음과 같습니다.
피싱 사이트 웹소스
<div id="row-secure">
<img src="imag(e)s/secure.png" align="center"></(i)mg>
<input id="input_ur(l)" class="input-bo(r)der" spe(l)lcheck="false"
value="hxxps://accounts(.)google(.)com/signin/v2/sl/pwd?passive=120(9)
600&continue=hxxps://accounts(.)google(.)com/ManageAccount&followup=
hxxps://accounts(.)google(.)com/ManageAc(c)ount&flowName=GlifWe(b)Si
gnIn&flowEntry=AddSession(&)cid=0&navigat(i)onDirection=forward" >
</div>
</td>
</tr>
</table>
</div>
<div id="main-body" style="overflow: hidden;">
<iframe id="main-wnd" src="hxxps://protected-onlinestorage(.)store/RRW
Y(R)hbWNdhGhj/:5e" frameborder=0 style="overflow: hidden;width:100%;h
eight:100%;">
</iframe>
</div>
</div>
으로 구성이 되어져 있는 것을 확인할 수가 있으며 해당 코드를 분석하면 다음과 같습니다.
해당 코드는 사용자로 하여금 피싱 페이지에 접속하게 유도
1.코드 내용 분석:
img …
연세대학교는 1885년 설립된 광혜원(제중원) 과 1915년 설립된 조선기독교대학에 연원을 두고 있으며 조선기독교대학을 모체로 하는 연희전문학교는 1946년에 연희대학교로 승격 광혜원을 모체로 하는 세브란스의학전문학교는 1947년에 세브란스의과대학으로 승격 1957년에 연희대학교와 세브란스의과대학이 통합하여 연세대학교가 된 대학교인 연세대 대학생을 공격하는 피싱 사이트 에 대해 글을 적어 보겠습니다.
피싱 사이트
hxxps://drive-yonsei-ac-kr(.)bit-albania(.)com/kelley/chrome/continue(.)php
일단 보면 주소를 보면 피싱 사이트는 정말 쓸데없게 구성이 돼 있는 것을 확인할 수가 있습니다. 사이트에 접속을 해보면 정말 쓸데없는 하게 만든 것을 확인할 수가 있습니다. 마치 구글 크롬 브라우저에서 접속하는 것처럼 보이지만 실제로는 다를 것을 확인할 수가 있으며 그리고 구글 크롬에서 있는 브라우저 주소는 다음과 같습니다.
hxxps://accounts(.)google(.)com/signin/v2/sl/pwd?passive=120960(0)&co
ntinue=hxxps://accounts(.)google(.)com/ManageAccount&followup=hxxps://
accounts(.)google(.)com/ManageAccount&flowName=GlifWebSignI(n)&flowEnt
ry=AddSessio(n)&ci
d=0&navigat(i)onDirection=forward
인 것을 확인할 수가 있습니다.
피싱 사이트 웹 소스는 다음과 같습니다.
피싱 사이트 웹소스
<div id="row-secure">
<img src="imag(e)s/secure.png" align="center"></(i)mg>
<input id="input_ur(l)" class="input-bo(r)der" spe(l)lcheck="false"
value="hxxps://accounts(.)google(.)com/signin/v2/sl/pwd?passive=120(9)
600&continue=hxxps://accounts(.)google(.)com/ManageAccount&followup=
hxxps://accounts(.)google(.)com/ManageAc(c)ount&flowName=GlifWe(b)Si
gnIn&flowEntry=AddSession(&)cid=0&navigat(i)onDirection=forward" >
</div>
</td>
</tr>
</table>
</div>
<div id="main-body" style="overflow: hidden;">
<iframe id="main-wnd" src="hxxps://protected-onlinestorage(.)store/RRW
Y(R)hbWNdhGhj/:5e" frameborder=0 style="overflow: hidden;width:100%;h
eight:100%;">
</iframe>
</div>
</div>
으로 구성이 되어져 있는 것을 확인할 수가 있으며 해당 코드를 분석하면 다음과 같습니다.
해당 코드는 사용자로 하여금 피싱 페이지에 접속하게 유도
1.코드 내용 분석:
img …
IoC
https://drive-yonsei-ac-kr.bit-albania.com