ASEC 분석팀은 지난 1월 3일에 카카오의 로그인 페이지를 위장하여 특정인의 계정 정보를 취하려는 정황에 대해 소개한 바 있다.
카카오 로그인화면으로 위장한 웹페이지
공격자는 취약한 웹사이트를 이용하여 도메인을 생성하였었는데, 동일한 방식으로 네이버의 로그인 페이지를 위장한 내용이 확인되어 이를 알리고자 한다.
네이버 고객센터를 사칭하는 유형의 이메일과 해당 이메일을 통해 계정정보를 탈취하려는 웹페이지는 수 년 전부터 지속적으로 확인되어왔다.
다만, 최근에는 동일한 도메인을 활용하여 카카오 사칭 페이지에 이어 네이버 사칭 페이지까지 생성한 정황이 확인된 것이다.
그림 1. 네이버 로그인화면으로 위장한 웹페이지
‘비밀번호 재확인’ 페이지로 접속이 되는 것으로 보아, 사용자의 계정정보 수정을 권고하는 내용이 담긴 피싱메일을 통해 해당 URL을 유포했을 것으로 추정된다.
해당 URL에 접속할 경우 로그인 포맷의 ID는 완성되어있는 것이 확인되며, 비밀번호 포맷에 데이터를 입력할 경우 공격자 서버로 계정 정보가 유출된다.
그림 2. 카카오 로그인화면으로 위장한 웹페이지 (그림 1. 의 페이지와 동일한 도메인 활용)
네이버 로그인을 위장한 화면에서는 ‘@naver.com’의 도메인이름까지 포함하여 ID를 완성해두었기 때문에 제작의 정교함은 떨어져 보일 수는 있으나, 사용자가 의심하며 여러 버튼을 클릭해 볼 것을 고려해서인지 모든 버튼에 정상 페이지와 위조된 페이지를 적절하게 섞어서 연결해 둔 것도 주목할만한 점이라고 할 수 있다.
실제로 아래와 같이 우측 상단의 사용자 이미지를 클릭할 경우에 나타나는, ‘내 페이포인트 확인(정상 페이지에서는 잔액이 노출됨)’ / ‘내 블로그’ / ‘가입한 카페’ / ‘네이버플러스멤버십’ 버튼 중 ‘네이버플러스멤버십’ 을 제외한 나머지 버튼은 모두 정상 네이버 웹페이지로 연결이 되지만 ‘네이버플러스멤버십’ 버튼은 실제 서비스 홍보 이미지와 동일한 이미지를 삽입하여 제작한 페이지로 연결이 된다.
그림 3. 조작된 페이지 (1)
그림 4. 조작된 페이지 (2)
위 그림의 페이지 하단의 ‘지금 무료 시작하기’ 버튼을 누를 경우에는 공격자가 제작한 ‘비밀번호 재확인’ 페이지로 다시 연결되도록 하였다.
또한, 우측 상단의 ‘전체 서비스 보기’ 버튼에서는, 정상 페이지에서는 ‘ http://www.naver.com/more.html ‘ 로 연결되지만, 공격자가 제작한 페이지에서는 아래와 같이 wwwid로 시작하는 도메인으로 연결된다.
그림 5. 조작된 페이지 (3)
현재까지 ASEC 분석팀에서 확인한 바로는, 공격자는 ‘그누보드 4’를 통해 제작된 웹사이트를 활용하고 있는 것으로 보인다.
PHP 기반 오픈소스 설치형 인터넷 게시판 프로그램으로 알려진 해당 CMS(Contents Management System)는 2013년 3월부터 ‘그누보드 5’가 릴리즈 되었는데, 다수의 웹취약점이 존재하는 ‘그누보드 4’ 기반의 웹사이트가 아직도 매우 많은 것으로 확인된다.
ASEC 분석팀에서 확보한 Reverse DNS 데이터와 관련 IP/도메인 및 연관 파일로 판단컨대, Kimsuky 조직의 소행으로 추정하고 있다.
현재도 다수의 도메인을 활용하여 제작된 카카오/네이버 를 사칭한 웹페이지가 확인되고 있으며, ID 포맷에 완성되는 계정은 수시로 변경되면서 공격이 지속되고 있음을 밝혀둔다. 실제로, 카카오 로그인 페이지를 위장한 화면에서는 입력 완성 되어있던 ID가 이틀 간격을 두고 언론사 기자에서 통일부 산하 특정 회원단체의 대표계정으로 변경된 것을 확인하였으며, 위에 소개한 URL에서도 짧은 간격을 두고 입력 완성 되어있는 계정이 변경된 것을 확인할 수 있었다.
애플리케이션과 연동된 계정으로 로그인 할 수 있는 간편 로그인 기능이 도입되면서, 사용자가 무의식적으로 로그인을 하도록 의도한 것으로 보인다. 사용자는 인증 여부가 불분명한 웹페이지에서의 무분별한 로그인은 절대 하지 말아야 하며, 만약 계정이 유출되더라도 다른 곳에서 쓰일 수 없도록 2단계 인증 조치를 하는 것이 필요하다.
또한, 운영하고 있는 웹사이트가 취약한 버전의 프레임을 활용한 것인지 확인이 필요하며, 제작사에서 제공하는 최신 버전으로 업데이트 할 것을 권고한다.
[IOC]
hxxp://accountskakao.bim-mgn[.]com
hxxp://nid.bim-mgn[.]com
hxxp://wwwid.bim-mgn[.]com
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보