안랩 ASEC은 11월 15일부터 국내에 유포되는 이력서 사칭 메일관련하여 아래의 글을 게시하였다.

- http://asec.ahnlab.com/1178 (이력서를 가장하여 유포중인 GandCrab 랜섬웨어 (2018.11.15))


당시 공격자가 사용하는 발신자 메일주소는 아래의 사이트를 통해 확인 가능하며, "mshuherk@gmail.com" 메일주소를 갖는 사용자에 의해 등록되는 것으로 확인되었다. https://domainbigdata.com/gmail.com/mj/AizKbe0W3X_QZVcjg5-C9Q



ASEC블로그를 통한 최초 공개 당시에는 11월 10일자에 생성한 도메인까지만 확인되었으나, 이후 11월 16일과 19일에도 새로운 도메인이 등록된 것을 알 수 있다. 11월 16일과 19일에 등록된 도메인은 다음과 같다.


- servicegoogletech.com 2018-11-16

- koreanodongcheong1.com 2018-11-19

- koreanodongcheong2.com 2018-11-19

- koreanodongcheong3.com 2018-11-19

- koreanodongcheong4.com 2018-11-19

- koreanodongcheong5.com 2018-11-19




이렇게 새롭게 생성된 도메인이 아래의 그림에서 처럼 정부기관 사칭 메일발송에 사용된 것을 알 수 있다. 즉, 공격자로 추정되는 "mshuherk@gmail.com" 사용자에 의해 등록되는 도메인은 지속적으로 모니터링할 필요가 있다.






[2018.11.26] Update


11월 26일 날짜에 새롭게 등록된 아래의 도메인들이 사칭 메일주소로 사용될 것으로 추정되어 해당 도메인으로 발송된 메일에 포함된 링크는 클릭하지 않는 주의가 필요하다.





- windykacja-orange.com 2018-11-26

- tojuntongsang.com         2018-11-26

- orange-platnosc.com         2018-11-26

- jihakimage.com                 2018-11-26

- hannasangsa.com         2018-11-26

- donghakimage.com         2018-11-26



Posted by 분석팀