다양한 그룹웨어를 사칭하여 유포되고 있는 피싱 스크립트파일

작년 5월, ASEC 분석팀에서는 TI 분석보고서와 ASEC블로그를 통해 ‘국내 메일 서비스 사용자를 타겟으로 한 피싱 사이트’에 대해 소개한 바 있다. 당시에는 네이버 웍스(NAVER WORKS)/메일 플러그(MAILPLUG)/하이웍스(hiworks)/천리안/다음 사용자를 대상으로 사용자 정보를 유출한 내용을 소개하였다.

기업용 그룹웨어 로그인 페이지를 가장하여 사용자 계정정보를 유출하기 위한 파일들은 매우 흔하게 유포되어 온 피싱 유형 중 하나이며, 메일 제목,내용/첨부파일명/스크립트 코드 등에서 사소한 변형을 사용하고 있다.

국내 사용자들이 많이 이용하는 해당 그룹웨어들을 사칭하는 것은 동일하지만, 이번에는 공격자가 보다 간단한 방식을 사용하며 동일한 스크립트 파일을 수신인에 맞게 다양한 파일명으로 바꾸어 유포하는 정황이 확인되었다. 또한, 스크립트 코드의 포맷을 유사하게 사용하여 네이버 웍스(NAVER WORKS)/하이웍스(hiworks)/Microsoft Outlook/Microsoft SharePoint 그룹웨어를 사칭한 파일들이 다수 확인되었다.

아래의 표는 현재까지 확인된 파일명과 파일이 확인된 최근 날짜들을 나타낸다. 대부분의 파일명에는 기업의 이름이 포함되고 견적요청/주문서/수주/주문용지 등의 범위에서 다양한 분포를 보인다. 특히, 특정 파일 두개는 기업의 이름을 각각 5군데 이상 다르게 하여 유포하였으며, 일부 파일은 VirusTotal Result 에도 존재하지만 타사 진단이 전혀 없는 것으로 확인되어 사용자들이 정상파일로 인지할 가능성도 다분하다.

예를 들어, 해시가 동일한 파일이지만 ‘○○과학_양수 요청서 양식.htm’ , ‘○○에코텍.htm’, ‘○○공장(주) 견적요청.htm’ 처럼 파일명이 다르게 유포되는 형식이다. 이와 반대로, 해시가 동일하지는 않지만 유사한 포맷의 스크립트 파일이 동일한 파일명으로 유포되는 정황도 확인되었다. 스크립트의 악성 부분은 본문 하단에서 보다 더 상세하게 소개한다.

File NameDateFile NameDate
PO2648357.htm
(Purchase Order 의 약자 P.O를 사용)
2021-12-20
2021-12-22
○○에코텍.htm2022-01-26
○○공장㈜ 견적요청.htm2021-12-24authenticationsharepointazon.htm2022-01-11
○○테크놀로지(주) (주문목록.htm2021-12-28(주)○○테크(견적문의).htm2021-12-20
2021-12-27
2022-01-19
2022-01-20
○○ 산업 (주) 수주.htm2022-01-04○○과학_양수 요청서 양식.htm2021-12-17
2022-01-23
○○산업. (주문 용지).htm2022-01-19(주) ○○ 견적 요청 (20210608).htm2022-01-14
2022-01-25
2022-01-26
DOC Q0017 3509.html2022-01-24○○○○테크놀로지(주)(주문서).htm2021-12-29
2022-01-04
2022-01-06
표1) 유포 파일명 & 확인된 날짜

피싱메일을 통해 유입되는 해당 HTML 파일을 오픈하면 아래와 같이 다양한 그룹웨어를 사칭한 로그인 페이지가 확인된다. 실제 정상페이지와 비교 시 다른 점을 쉽게 찾을 수가 없으므로 사용자들의 각별한 주의가 요구된다.

그림 1) 다양한 그룹웨어를 사칭하는 피싱파일 (1)
그림 2) 다양한 그룹웨어를 사칭하는 피싱파일 (2)
그림 3) 네이버웍스(NAVER WORKS) 그룹웨어 사칭 파일 내부에 삽입된 스크립트

텍스트편집기에서 네이버웍스(NAVER WORKS)의 정상 로그인 페이지의 스크립트 코드와 비교해보면, 위와 같은 스크립트 코드가 최하단에 추가된 것을 알 수 있다.

자바스크립트 atob 메소드를 이용하는 부분에는 변수 d를 선언 후 계정정보를 유출하는 주소를 Base64 인코딩 해두었으며, 사용자가 아이디와 패스워드를 입력 시 HTTP POST 메소드를 통해 해당 데이터를 계정정보 유출주소로 전달하는 내용을 나타낸다. 또한, windows.location.replace 를 사용한 부분에서는, 사용자가 피싱 사이트 방문을 알아차리지 못하도록 아래와 같은 그룹웨어 정상 페이지로 리다이렉트 시키는 것을 알 수 있다.

공격자는 계정정보 유출주소를 아래와 같이 구분해두었는데, 획득한 계정정보가 어떤 페이지에서 입력된 것인지 인지하기 위한 것으로 추정된다. 실제로 작년부터 ngrok.io 플랫폼의 도메인이 피싱에 사용된 다수의 정황들이 해외에서 보고되고 있다.

  • hxxps://3a35-69-61-79-165.ngrok[.]io/gondor/jameshector0705_naver.php
  • hxxps://3a35-69-61-79-165.ngrok[.]io/gondor/jameshector0705_hiworks.php
  • hxxps://3a35-69-61-79-165.ngrok[.]io/gondor/wendiflaisher_worksmobile.php

정상적인 그룹웨어 이미지를 사용하였기 때문에 혼란의 여지는 있으나, 이메일의 첨부파일을 통해 웹페이지에서 계정정보를 입력하는 것은 지양해야 한다. 만약 피싱으로 의심되는 메일을 수신했는데 실제로 해당 그룹웨어를 이용하는 경우라면, 웹브라우저를 통해 그룹웨어 공식 사이트에서 로그인 과정을 거쳐 확인하는 방향을 권고한다.

또한, 항상 사용하고 있는 백신을 최신 버전으로 업데이트하여 사용하는 노력이 필요하다.

안랩 V3 제품군에서는 본문에서 소개한 유형의 악성 스크립트 파일에 대해 아래와 같이 진단하고 있다.

[파일 진단]
Phishing/HTML.Generic.S1713

[IOC]
0ac973a960c95ac3e5bd1f474098f635
hxxps://no1webmaster.com/alvin.php
hxxps://supraenagy.ml/wan.php
hxxps://simcaadvertising.com/most.php
hxxps://3a35-69-61-79-165.ngrok[.]io/gondor/jameshector0705_naver.php
hxxps://3a35-69-61-79-165.ngrok[.]io/gondor/jameshector0705_hiworks.php
hxxps://3a35-69-61-79-165.ngrok[.]io/gondor/wendiflaisher_worksmobile.php
hxxps://1749-185-38-142-187.ngrok.io/narnia/mekus_worksmobile.php

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

3.5 2 votes
별점 주기
guest
1 댓글
Inline Feedbacks
View all comments