안랩 ASEC은 11월 15일부터 국내에 유포되는 이력서 사칭 메일관련하여 아래의 글을 게시하였다.
– http://asec.ahnlab.com/1178 (이력서를 가장하여 유포중인 GandCrab 랜섬웨어 (2018.11.15))
당시 공격자가 사용하는 발신자 메일주소는 아래의 사이트를 통해 확인 가능하며, “mshuherk@gmail.com” 메일주소를 갖는 사용자에 의해 등록되는 것으로 확인되었다. – https://domainbigdata.com/gmail.com/mj/AizKbe0W3X_QZVcjg5-C9Q
ASEC블로그를 통한 최초 공개 당시에는 11월 10일자에 생성한 도메인까지만 확인되었으나, 이후 11월 16일과 19일에도 새로운 도메인이 등록된 것을 알 수 있다. 11월 16일과 19일에 등록된 도메인은 다음과 같다.
– servicegoogletech.com 2018-11-16
– koreanodongcheong1.com 2018-11-19
– koreanodongcheong2.com 2018-11-19
– koreanodongcheong3.com 2018-11-19
– koreanodongcheong4.com 2018-11-19
– koreanodongcheong5.com 2018-11-19
이렇게 새롭게 생성된 도메인이 아래의 그림에서 처럼 정부기관 사칭 메일발송에 사용된 것을 알 수 있다. 즉, 공격자로 추정되는 “mshuherk@gmail.com” 사용자에 의해 등록되는 도메인은 지속적으로 모니터링할 필요가 있다.
[2018.11.26] Update
11월 26일 날짜에 새롭게 등록된 아래의 도메인들이 사칭 메일주소로 사용될 것으로 추정되어 해당 도메인으로 발송된 메일에 포함된 링크는 클릭하지 않는 주의가 필요하다.
– windykacja-orange.com 2018-11-26
– tojuntongsang.com 2018-11-26
– orange-platnosc.com 2018-11-26
– jihakimage.com 2018-11-26
– hannasangsa.com 2018-11-26
– donghakimage.com 2018-11-26
Categories:악성코드 정보