안랩은 여러 고객사로부터 매일 수십 개의 피싱 유형 스팸 메일을 수집하고 있다. 피싱 유형 스팸 메일은 크게 두가지로 나눠진다. 첫 번째는 개인 정보 회신을 요구하는 등 본문 내용 자체가 거짓인 유형이다. 두 번째는 메일 본문에 피싱 사이트 접속 주소를 포함해 사용자의 접속을 유도하거나 피싱 사이트 스크립트 파일을 첨부파일로 포함한 유형이다. 본 내용에서는 보안 제품 레벨에서 차단이 필요한 두번째 유형에 대해 피해 현황 및 피싱형 악성코드 특징에 관해 설명한다.
메일 본문에 포함된 피싱 사이트 주소에 접속했을 때, 또는 첨부된 HTML 파일을 웹 브라우저를 통해 접속했을 때 사용자는 사내 계정 ID 또는 패스워드 등 개인 정보 입력을 요구하는 페이지로 접속하게 된다. 과거에는 이러한 피싱 형태가 정상 페이지와 비교했을 때 내용 및 어설픈 화면 구성 형태 등으로 인해 사용자가 의심할만한 부분이 많았다. 하지만 현재는 정상 사이트와 비교하였을 때 거의 똑같이 만들기 때문에, 개인 정보 입력 및 정보가 유출되고 나서도 이를 알기가 어렵다.
특히 기업 사용자를 대상으로 이러한 공격이 다수 시도되고 있기 때문에, 본 내용에서는 공격 형태 등에 대해 특징을 자세히 소개하여 공격으로 인한 피해를 최소화하고자 한다.
피해 현황
1) 고객 접수 메일 현황
안랩에 매일 스팸 메일을 접수하고 있는 OO 고객사 1일 접수 기준으로 하루에 약 10 ~ 30건 내외의 악성 스팸 메일이 접수되고 있다.
2) 악성코드 탐지 현황
안랩은 피싱 유형 악성코드를 탐지하기 위해 다양한 포인트를 이용하여 탐지 패턴을 반영하고 있다. 2021년 8월 한달동안 새롭게 반영한 패턴만으로 실제 고객 환경에서 탐지된 수량은 다음과 같다. 약 1천여 개 고객에게서 약 5,400건 이상의 피싱 유형 악성코드가 보고되었다.
5,420 Count 949 PCID
여기서 말하는 패턴은 1:1 단일 파일 진단이 아닌 1:N 다수의 파일을 진단할 수 있는 포괄적인 탐지 방식으로 한정한 것이다. 따라서 위 진단된 수량은 최소 건수이며, 단일 파일 탐지와 8월 이전에 반영한 패턴으로 탐지된 수량까지 포함한다면 피싱 유형 악성코드로 인한 피해는 이보다 훨씬 더 많을 것으로 보고 있다.
스팸 메일
1) 스팸 메일 사례
아래는 2021년 8월 한달동안 OO 고객사에 접수된 스팸 메일 일부 사례이다. 기업 외부로부터 메일을 자주 받는 사용자라면 의심 없이 악성 사이트에 접속할 가능성이 높다. 또한 사내 인프라 관련 메일을 위장한 사례도 확인되었다. 사내 인프라 관련은 메일 제목, 발송인, 본문에 사명을 포함한 경우가 많기 때문에 이를 신뢰할 가능성이 매우 높아서 주의가 필요하다.
피싱 사이트
1) 피싱 사이트 사례
아래는 스팸 메일 본문에 포함된 피싱 사이트 주소에 접속하거나 첨부된 HTML 파일을 웹 브라우저로 실행했을 때 보여지는 화면이다. 공통적으로 사용자 사내 계정 또는 유명 서비스 계정 정보 탈취를 목적으로 한다. 타이틀부터 배경 이미지까지 정교하게 만들어진 페이지가 많아 사용자가 정상 사이트로 착각하기 쉽다. 마치 인증 단계를 거치는 것처럼 일정시간 페이지 리다이렉션 하는 효과를 넣은 피싱 사이트도 최근 들어 자주 발견되고 있다.
안랩 대응 현황
피싱 유형은 메일에 첨부된 스크립트 파일 또는 피싱 사이트 접속 행위가 차단 대상이다. 안랩 제품군의 진단명은 다음과 같다. 진단은 계속해서 업데이트 되고 있기 때문에 일부 진단명만 나열한다.
Phishing/HTML.Generic.S1644 (2021.08.25.02)
Phishing/HTML.Generic.S1643 (2021.08.25.02)
Phishing/HTML.Generic.S1642 (2021.08.25.02)
Phishing/HTML.Generic.S1641 (2021.08.25.02)
Phishing/HTML.FakeExcel.S1632 (2021.08.23.02)
Phishing/HTML.FakeExcel.S1630 (2021.08.19.02)
Phishing/HTML.Redirect.S1621 (2021.08.13.02)
Phishing/HTML.Redirect.S1620 (2021.08.13.02)
IoC
04ef8dcac0699cc98ee2e3f63ec60d15
0d2dca7ee968e7f263b2edd0731c18af
10a2fd82ae872fa150256eb3079af6f2
1b09114f2475443c443d509f1f37a7e9
1b481f5e62271c12c5e64c2ddbbd7f34
2c63574a6f425b899d969e425b021a34
2f0a0327e3ecae4bb909c37789940631
2fea75124e383b6204fe400a55a75f42
3ca2e93ce5646b5edbcd26a83f0c1076
414fb3d9224e9a3d2a8497cc21e35c4c
438e28f1250a95f67b5da709b0b0b873
53fa4af4cdedc8714c633e79f8d27f8c
59364f402c8ab5a1fe81da3298590ba9
66bde819e1485d8acca63ff6db30a32d
6ddf37c10bcedbc23bfbb4cace71f654
76eab31f38a1bfb1b2a6358d66676d90
82c7f1291cd84e74e48b800c894a87eb
85663d428c4f4faf7ab9da021a029454
85ae5c2876b7e6059f73eb4f9febb491
a316bb6ed42203d53c69f6b864a93219
a62011445bca1f4049088e1cc54a7655
a9d205242228843b808cc4b26a66381c
aea404847a1409850a38b0a23b4f381f
b842f98ca06aa29b430c848c9f90deda
c7f10beb8f19ad0965741cdcab58cfb0
cc03ac89055c7a092d6cadea1f9f127c
d25a73691950635505662fa4c183e315
d2aca148eb7196cc948c5e007c477db1
d9ee2d64d89b61aab421254c6c37908b
e52d0f9b9c0f8d3d67af6215960d3deb
f0d841b0051a6b6b4b63cdc8794460a6
f253811aad38d8c6885b715693a358b1
f559eb1b80519958642229822eff4573
f5ea4adde22ef1f9a19dd210e2efd705
f8dfadd297b77cb16920a88a80c3219b
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보