국내 그룹웨어 로그인 사이트로 위장한 피싱 사이트 유포

ASEC 분석팀에서는 국내뿐만 아니라 해외에서 유포 중인 다양한 악성코드를 수집하기 위해 허니팟을 구축하고 있다. 이 허니팟은 피싱 메일도 같이 수집하는데 최근 8월부터 한국 계정에만 지속적으로 유포 중인 한국 타겟형 피싱 메일을 포착하였다.

해당 피싱 사이트는 국내 그룹웨어의 로그인 사이트를 위장한 것으로 국내에서 2500건 이상 해당 사이트에 접근한 이력이 확인되었다. 따라서 사용자는 그룹웨어 사이트에 로그인 시 각별한 주의가 필요하다.

[그림 1] 정상 vs 피싱 사이트

해당 피싱 사이트는 메일로 유포되는 것뿐만 아니라 구글 검색 엔진의 상위에도 노출되어 부주의 시 사용자 계정이 쉽게 유출될 위험이 있다.

[그림 2] 검색 시 상위에 노출되는 피싱 사이트(맨 하단)

최근까지 유포된 피싱 메일은 주로 ‘비밀번호 만료’ 나 ‘계정 비활성화’ 등을 내용으로 유포되고 있다.

[그림 3] 현재 유포 중인 피싱 메일 본문

피싱 사이트에 접속 시 정상 사이트와 육안만으로는 구분하기 어려우며, 스크립트도 정상과 유사하다. 악성의 경우 스크립트 하단의 javascript 내부를 펼쳐보면 스크립트가 변경된 것을 확인할 수 있다.

[그림 4] 피싱 사이트 javascript 내부 계정 탈취 URL

올해 해당 그룹웨어로 위장한 피싱 사이트는 총 5개가 확인되었으며, 아직까지 확인되지 않은 주소가 더 있을 것으로 보인다.

피싱 URL
– hxxps://5imk2-hiaaa-aaaad-qdtoa-cai.ic.fleek[.]co/?#(메일계정)
– hxxps://55l3x-gaaaa-aaaad-qdtnq-cai.ic.fleek[.]co/?#(메일계정)
– hxxps://5tjw7-5qaaa-aaaad-qdtmq-cai.ic.fleek[.]co/?#(메일계정)
– hxxps://siasky[.]net/OACzNPwRNbE5E1QBOVNanLc5pfd4RiKlb0JwLvQvHK3Elg?#(메일계정)
– hxxps://gfyyyryrye.steep-rice-1b7d.izulink0047002.workers[.]dev/

계정 유출 URL
– hxxps://dev-onaebe-all.pantheonsite[.]io/wp-content/cp.php
확인된 피싱 사이트

위 피싱 사이트 중 접근 수가 가장 많은 순위 TOP 3를 꼽자면 아래와 같다. 참고로 2000건이 넘는 사이트는 올해 초부터 유포되어 왔으며, 100건이 넘는 URL의 경우 모두 8월부터 유포되고 있는 사이트이다.

[그림 5] 위 피싱 사이트에 접근한 사용자 수, 상위 3개


사용자는 이메일에 포함된 링크를 클릭 시 반드시 주소를 확인해야 하며, 불분명한 메일에 대하여 첨부 파일을 열지 않도록 해야 한다. 또한 계정 정보를 요구하는 경우 다시 한번 주소를 확인하여 자신이 로그인 하는 대상 사이트가 맞는지 확인해야 한다.

[ IOC 정보]

hxxps://5imk2-hiaaa-aaaad-qdtoa-cai.ic.fleek[.]co/?
hxxps://55l3x-gaaaa-aaaad-qdtnq-cai.ic.fleek[.]co/?
hxxps://5tjw7-5qaaa-aaaad-qdtmq-cai.ic.fleek[.]co/?
hxxps://siasky[.]net/OACzNPwRNbE5E1QBOVNanLc5pfd4RiKlb0JwLvQvHK3Elg?
hxxps://gfyyyryrye.steep-rice-1b7d.izulink0047002.workers[.]dev/
hxxps://dev-onaebe-all.pantheonsite[.]io/wp-content/cp.php

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

Tagged as:,

5 1 vote
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments