ASEC 분석팀은 최근 금융권의 정상 웹사이트를 타겟으로 한 악성 도메인들이 다수 생성된 정황을 확인하였다.
지난 11월 초부터 아래와 같이 네이버 고객센터를 사칭한 피싱메일의 유포가 다수 확인되었고, 이를 통해 해당 메일에 포함된 악성URL을 모니터링 하고 있었다.
보낸사람의 Username은 ‘Naver센터’ 였으며, 내용은 연락처 변경알림 / 새 일회용번호 생성알림 / 타지역 로그인 알림 / 메일함용량 초과알림 / 접속시도 차단알림 등의 일반 사용자를 속이기 위한 다양한 내용이 확인되었다.
위의 첨부한 그림에서 ‘휴대전화 번호 확인하러 가기’ 링크를 클릭하면, 네이버 로그인화면을 사칭한 페이지가 확인되고 해당 페이지에 계정정보를 입력하면 공격자가 의도한 페이지로 계정 데이터가 유출되는 일반적인 피싱 공격이었다.
여기서 확인되는 특징으로 최상위 도메인으로 n-e.kr 을 사용하였는데, 자사에서는 이전부터 Kimsuky 조직에서 해당 도메인과 유사한 포맷의 도메인을 C2에 활용해 온 정황을 파악한 바 있다.
[KIMSUKY 관련 공격에 자주 사용되는 최상위 도메인 리스트]
- n-e.kr
- p-e.kr
- r-e.kr
- o-r.kr
- kro.kr 등 다수 존재.
우선, 공격에 사용된 피싱 도메인이 Resolving 되는 IP를 확인하였고, 이와 연관된 동일한 IP와 연결된 도메인이 아래와 같이 다수 존재하는 것을 알 수 있었다. (2022/12/14 현재 기준, 아래 리스트 중 일부 도메인만 라이브한 상태로 확인된다.)
# Resolving IP : 210.16.120[.]212 [Singapore]
- conf.simpleedit.n-e[.]kr
- foward.viewpropile.p-e[.]kr
- dashboard.quikveoriy.o-r[.]kr
- www1.quickedit.o-r[.]kr
- www2.configment.p-e[.]kr
- wvw3.secure-edit.n-e[.]kr
- wwv3.supports.o-r[.]kr
- wvw1.user2list.kro[.]kr 외 다수
공통된 최상위 도메인을 추려보면, 위에서 언급한 n-e.kr / p-e.kr / o-r.kr / kro.kr 등의 도메인이 존재한다.
최상위 도메인들은 동일한 2개의 IP로 Resolving 되었는데, 자사 인프라를 통해 수집된 유관 도메인의 일부는 아래와 같다.
아래의 도메인 외에도 매우 많은 수의 악성 도메인이 존재한다.
# Resolving IP : 139.99.89[.]153 [Singapore] / 172.104.112[.]214 [Japan]
현재도 라이브한 상태의 도메인이 일부 존재하며, 특정 페이지에서는 악성 APK가 다운로드 되는 것을 확인할 수 있다.
| IP | 국가 | 악성 도메인 | 타겟팅 (추정) | 접속가능여부 (22/12/14 기준) |
비고 |
| 139.99.89[.]153 | Singapore | shinhanbank.kro[.]kr | 신한은행 | X | |
| smartshinhan.kro[.]kr | O | 악성 APK 다운로드 | |||
| tos.p-e[.]kr | 토스 | X | |||
| kbank.o-r[.]kr | 케이뱅크 | O | 악성 APK 다운로드 | ||
| k-bank1.kro[.]kr | X | ||||
| kamco.kbloan.r-e[.]kr | 캠코(한국자산관리공사) | O | 악성 APK 다운로드 | ||
| kakaosaving.kro[.]kr | 카카오뱅크 | O | 악성 APK 다운로드 |
| 172.104.112[.]214 | Japan | naver.o-r[.]kr | 네이버 | O | 네이버 메인페이지 사칭 |
| naver.kro[.]kr | X | ||||
| naver65.n-e[.]kr | X | ||||
| digital.pepperbank.kro[.]kr | 페퍼저축은행 | O | 악성 APK 다운로드 | ||
| inglife.kro[.]kr | 오렌지라이프(구 ING생명) | O | |||
| nhlife.kro[.]kr | NH생명 | O | |||
| kamco.kbloan.kro[.]kr | 캠코(한국자산관리공사) | O | |||
| kamco.webs.kro[.]kr | X | ||||
| k-bank.o-r[.]kr | 케이뱅크 | X | |||
| k-bank1.kro[.]kr | X | ||||
| heungkukfire.p-e[.]kr | 흥국화재 | O |
다운로드 되는 악성 APK는 모두 보이스피싱에 사용되는 악성 앱으로 확인되었다. 해상도는 모바일에 최적화되었으며, 모바일로 접속 시 아래와 같은 페이지를 확인할 수 있다.
위의 이미지는 순서대로 케이뱅크/신한은행/한국자산관리공사(캠코)/카카오뱅크/페퍼저축은행 을 사칭한 악성 앱 다운로드 페이지이며, 각 페이지에 존재하는 ‘앱 다운로드’ 혹은 ‘신청서 작성’ 등의 버튼을 누르면 악성 앱이 다운로드 된다.
해당 악성앱은 금융기관을 사칭하여 앱이 설치된 단말기로 특정 전화번호로 전화를 걸면 발신통화를 가로채 공격자가 지정한 번호로 연결되게 하는 기능이 포함되어있다. 앱을 실행 시 ‘V3 mobile plus’ 앱을 사칭한 앱을 다운로드 받아 설치하도록 유도하며, 다운로드 된 앱에 악성 기능이 포함되어있다.
피싱메일을 통해 이렇게 교묘한 방법으로 악성URL 접근이 가능하므로, 사용자는 출처가 불분명한 메일/문자 등의 열람을 자제해야 한다.
현재 V3에서는 해당 도메인들을 피싱 사이트로 차단하고 있다.
[IOC]
hxxp://conf.simpleedit.n-e[.]kr
hxxp://foward.viewpropile.p-e[.]kr
hxxp://dashboard.quikveoriy.o-r[.]kr
hxxp://www1.quickedit.o-r[.]kr
hxxp://www2.configment.p-e[.]kr
hxxp://wvw3.secure-edit.n-e[.]kr
hxxp://wwv3.supports.o-r[.]kr
hxxp://wvw1.user2list.kro[.]kr
hxxp://shinhanbank.kro[.]kr
hxxp://smartshinhan.kro[.]kr
hxxp://tos.p-e[.]kr
hxxp://kbank.o-r[.]kr
hxxp://k-bank1.kro[.]kr
hxxp://kamco.kbloan.r-e[.]kr
hxxp://kakaosaving.kro[.]kr
hxxp://naver.o-r[.]kr
hxxp://naver.kro[.]kr
hxxp://naver65.n-e[.]kr
hxxp://digital.pepperbank.kro[.]kr
hxxp://inglife.kro[.]kr
hxxp://nhlife.kro[.]kr
hxxp://kamco.kbloan.kro[.]kr
hxxp://kamco.webs.kro[.]kr
hxxp://k-bank.o-r[.]kr
hxxp://k-bank1.kro[.]kr
hxxp://heungkukfire.p-e[.]kr
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보