피싱 이메일 위협 유형
한 주간 피싱 이메일 첨부파일 중 가장 많은 위협 유형은 정보 탈취 악성코드(Infostealer, 39%)이다. 정보 탈취 악성코드는 AgentTesla, FormBook 등이 포함되며 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출한다. 그다음으로 많은 위협 유형은 가짜 페이지(FakePage, 36%)이다. 가짜 페이지는 공격자가 로그인 페이지, 광고성 페이지의 화면 구성, 로고, 폰트를 그대로 모방한 페이지로, 사용자가 자신의 계정과 패스워드를 입력하도록 유도하여 입력된 정보는 공격자 C2 서버로 전송하거나, 가짜 사이트로 접속을 유도한다. 아래 <가짜 페이지 C2> 참고 이 외에 다운로더(Downloader, 9%), 취약점(Exploit, 4%), 트로이목마(Trojan, 4%), 웜(Worm, 4%), 백도어(Backdoor, 2%), 드로퍼(Dropper, 1%) 유형이 확인되었다. 피싱 이메일 첨부파일을 이용한 위협 유형과 그 순위는 <ASEC 주간 악성코드 통계> 로 매주 공개하는 악성코드 유포 순위와 유사하다.첨부파일 확장자
위에서 설명한 위협들이 어떤 파일 확장자로 이메일에 첨부되어 유포되었는지 확인하였다. 한 주간 피싱 이메일 첨부파일 유형의 특이사항으로는 ONE 확장자(ONE ,4%) 유형이 꾸준히 유포되고 있다. OneNote는 Microsoft에서 개발한 전자 필기장 앱으로, 워드프로세서 프로그램과 달리 페이지 내 어느 곳에나 콘텐츠를 삽입할 수 있는 특징이 있다. 가짜 페이지는 웹 브라우저로 실행되어야 하는 웹 페이지 스크립트(HTML, SHTML, HTM) 및 PDF 문서로 유포되었다. 정보유출형 악성코드와 다운로더 악성코드를 포함한 그 외 악성코드는 GZ, ZIP, RAR, R00, R15, R17 등의 압축파일, IMG 디스크 이미지 파일, ONE, XLS, XLSX, PDF 문서 파일 등을 포함한 다양한 파일 확장자로 이메일에 첨부되어 들어왔다. 웹 페이지 스크립트 파일(HTML, HTM, SHTML), PDF로 유포되는 가짜 페이지를 제외한 악성코드는 위협 유형에 상관 없이 다양한 파일 확장자로 유포되었다.
유포 사례
2023년 01월 29일부터 02월 04일까지 한 주간 유포 사례이다. 가짜 로그인 페이지 유형과 정보유출, 다운로더, 취약점, 백도어를 포함한 악성코드 유형을 구분하여 소개한다. 이메일 제목과 첨부파일 명에 등장하는 숫자는 일반적으로 고유 ID 값으로서, 이메일 수신자에 따라 다를 수 있다. 한글 제목의 유포 사례도 확인되었다. 글로벌하게 똑같은 영문 제목과 내용으로 유포되는 것이 아닌 국내 사용자를 공격 대상으로 한 사례이다.사례: 가짜 로그인 페이지 (FakePage)
PO ON/GLKDD 9636228 | POMO9636228.htm |
TAX INVOICE | TAX INVOICE.shtml |
Fwd: Venturx Invoices (urgenly needed) | Invoice-Order#.html |
ORDER.654768976 | PO.654768976.html |
Kookmin Bank | Doc00135_xls .shtml |
Comercial Invoice. | PO.NO.230256789.shtml |
PACKING LIST – SHIPPIING DOCUMENT | Shipping Doc-2023003932.htm |
PACKING LIST – SHIPPIING DOCUMENT | Packing List __ Bill of Lading Copies.htm |
Remittance From MP Hants Ltd to hckim Attached | Remittance For hckim .shtml |
Please Quote Order # 2851 with delivery. | PO_.html |
주문 배송 확인 | DOC101.html |
RE: UPDATED STATUS – Invoices for payment | Payment Advice 1901202393820.htm |
[FedEx] 도착 통지서-선적 서류 원본– P/L-B/L2327821366? | 배송 송장.Pdf.htm |
[FedEx] 도착 통지서-선적 서류 원본– P/L-B/L2327821366? | 배송 문서_ KR039929203.Pdf.htm |
Comercial Invoice. | PO.NO.230256789.shtml |
TAX RECEIPT FOR JANUARY 2023 | TAX RECEIPT JAN 2023 .html |
*** Kindly Download Your Files via WeTransfer! | Files pdf.html |
EFT Direct Deposit received on Wednesday.18.2023 | EFT_Remmitance#854920_statement.htm |
중요 메일메일 제목[대한항공] 국가별 입국 조건 및 검역 필요 서류 안내 | Shipment#BL#PDF.html |
gerald.zarate ACCOUNT TERMINATION | Quote.pdf |
Unpaid Invoice 0059012342 DUE | Invoice 0059012342.one |
Notificacion de recepcion de la factura Ref (906189) | 01_365896d-a55z-7lkj-lamshd-36598e32mb0101.pdf |
사서함 비활성화 알림!! | ***.com사용자 계약 정책.htm |
Doc_____________*******@*********.co.kr.htm | |
Equipment, Materials and Services / HDEC | Request_for_Quotation-10000257259.htm |
Factura enero2023 Ref (857622) | CFEG380213QM5_Factura_B_43609_BA8FE438_D923_4772_BA1_166ED8359417.pdf |
Invoice #0088321 DUE | Invoice88321.one |
Invoice#001191 DUE | Invoice#91.one |
New project 견적의뢰의 건 | project SG.REV.OFFER..html |
Unpaid Invoice 0059012342 DUE | Invoice 0059012342.one |
Remittance_Advice_***_-_Payme | 766567.htm. |
PO10116145444 | PO10116145444.html |
Anbei ist Ihre Offizielle Touristik Gewinnbenachrichtigung. MFG, Mark Kruger | A Offizielle Touristik Gewinnbenachrichtigung.pdf |
request for quotation | Quote.pdf |
Llego tu Factura Digital CFE Febrero2023 Ref (886436) | TuCuentaCFE_Feb-2023-43609_BA8FE438_D923_4772_BA1.pdf |
Pay adjustments report | 2023 Salary Increases | message.html |
중요 메일메일 제목[대한항공] 국가별 입국 조건 및 검역 필요 서류 안내 | Shipment#BL#PDF.html |
Voicemail from Zora Lexie | VM274285124.html |
Fwd: Envio de Factura No. F135 del 31/01/2023 CLIENT – (983831) | CFEG380213QM5_Factura_B_43609_BA8FE438.pdf |
RE: ยืนยันการสั่งซื้อ-INV? | Order Inv.html |
RE: inquiry | Quote_2200001688.img |
REMITTANCE ADVICE | Payment advice.rar |
FW: DEMANDE DE SWIFTS (SWIFT REQUEST) | DEMANDE DE SWIFTS (SWIFT REQUEST),pdf.zip |
Invoice#673763 | Invoice #673763.iso |
FW: RE: RF Quotation | Doc-622.xls |
RFQ-20000 TO 500000 MT/BARELLS TEST by SGS | ***** ******* ********** TENDER PURCHASE.r00 |
Quotation | Quote FCCL-1000000033.img |
REQUEST FOR QUOTATION | Inquiry_specification.img |
confirmaci/datos_banc arios | facturas y datos bancarios.pdf.img |
Re[4]: very beautiful images don’t show | priv_pctrs.jpg.pif |
Re: very nice pictures very important | best_plp.pif |
FW: RE: RF Quotation | Doc-623.xls |
RE: 2nd Remittance // Shipping | INVOICE10321.r17 |
Re: **TOP URGENT** Shipping Documents | Shipping Doc.r15 |
Re: Sales contract SC-22-00005 | SC-22-00005_PDF.zip |
RE:BALANCE REMITTANCE | TR0009.r00 |
DHL Express_AWB: 80258723268765 | AWB 80258723268765.tar |
Re[5]: very nice pics only for you | wild-pctrs.pif |
FW: Payment Advice | Payment Copy,pdf.zip |
MONEY REQUIRE | TReftt1272023-pdf.gz |
Unpaid Invoice 0059012342 DUE | Invoice 0059012342.one |
Payment Advice – Ref: [HSBC1057029141] /RFQ Priority Payment / Customer Ref: [PI10771QT90] | HSBC Payment Advice_pdf.gz |
PTZ| Materials & Contracts //TENDER_Mechanical Bulk Materials | PTZ Materials & Contracts tender documents electronic.r00 |
RE: SWIFT DETAILS- TT DETAILS-BANK TRANSFER | SWIFT COPY.r00 |
RE: Request for quote | PO.zip |
30 % advance order | PO023010.zip |
Approved Purchase Order | Approved Purchase Order,pdf.rar |
TR: DEMANDE DE SWIFTS (SWIFT REQUEST) | DEMANDE DE SWIFTS (SWIFT REQUEST),pdf.rar |
Entrega a pedido de DHL | Documentos.xlsx |
Shipping Documents for first order Inv Bl PL | Shipping Documents for first order Inv Bl PL.zip |
Re: RETURN PAYMENT TT | TTRT0124013-pdf.gz |
beautiful picture | privateplp.exe |
사례: 악성코드 (Infostealer, Downloader 등)
Re: Inquiry | Product list.zip |
Re: PURCHASE ORDER | ORDER00388737838.PDF.XXE |
FT PHAGOCLEN (RFQ:#2020-2022 Re-Order) | FT PHAGOCLEN INV#2020-2022.r00 |
order | 27012023164648-0001.IMG |
RE: PROPUESTA PEDIDO | new order.doc |
RE, Payment-Advice: Ref743009 | Payment TT.rar |
PO for Acknowledgement | PO-FSSC-22-0102-R02.gz |
Payment Request | Payment Request-pdf.gz |
SOA – NWS SHIPPING – CP WORLD MAURITIUS – REMITTANCE SLIP. | 80893_payslip.docx |
RE: OUTSTANDING PI// SOA | PI.r17 |
RE: Documentacion para alta como proveedor | Inv_02_02_#4.zip |
RE: Request for quote | PO.r00 |
NEW PO | NEW PURCHASE ORDER #4312652902.gz |
FW: Technical Clarification No: 1 | TC 1 AHTSA 1093 1094 RO.pdf.gz |
ENERCOV 2023 RFQ (PO 2302051) | ENERCOV 2023 RFQ (PO 2302051).r01 |
payment | 2023 Swift MT03pdf 00003747727369.r00 |
[페덱스] 수입면장 안내 정리. | New order & Specifications.xls.tgz |
Payment copy | payment.rar |
PI مناقصه و پرداخت تایید شد | Signed Tender PI & Payment Order pdf.zip |
Statement for your Account under Customer ID 356-XXXXXX | HSBC Account Statement 03FEB2023_pdf.gz |
Cool Stuff!! | HeartsOnFire.eXe |
: Re: Re: Re: Re: Re: Re: Request for Proforma Invoice | Purchase Order list attached.zip |
AW: PO-000001306 | PO-000001306.IMG |
A new invoice is available (Invoice #Q0092871) | Invoice #Q0092871.one |
Interesting.. | HeartsOnFire.eXe |
Payment Details | DOCUMENT-pdf.gz |
FW: FEB 2023 NEW QUOTE | RegScan PI-20230130.docx |
Interesting.. | Fun_Games.eXe |
BBVA-Confirming Facturas Pagadas al Vencimiento | ConfirmingPagadas.rar |
RE: PO: 879204/1 FCR Draft 1 EFCR YAX1905070 | E-FCR Docs_pdf.gz |
PROCESSIING CONTRCT SY2-WT2103-23. | PS#049847646-4094876478MBN.001 |
Interesting.. | MyHeart4u.eXe |
RE: RE: Updated SOA 210827//: Statement 210826 | STATEMETNT OF ACCOUNT.rar |
Cool Stuff!! | Happy_XMas.eXe |
AW: PO-000001306 | PO-000001306.IMG |
MONEY REQUIRE | Purchase Order-pdf.gz |
Re: Draft Docs Confirmation against PI#CK2023M1903 | DRAFT DOCS INVCK2023M1903 BL PL.xls |
Re: SOA Detail Payment for shipment invoices from Nov 11th – Jan 12 | STATEMENT OF ACCOUNT CERIE 10134 Payment Advise.xls |
By E-Mail send: Delotser Transport Operator – 0085437719 | 0085437719.IMG |
RFQ-20000 TO 500000 MT/BARELLS TEST by SGS | RFQ-20000 TO 500000 MTBARELLS TEST by SGSPDF.r00 |
FW: Technical Clarification No: 1 – WOR/CTC/HC-GP/2018/188 AHTSA/1093 & 1094 , 1095 – PROVISION OF ANCHOR HANDLING AND TUG SUPPLY VESSEL (AHTS) FOR PETRONAS CARIGALI SDN BHD | TC 1 AHTSA 1093 1094 RO.xlsm |
VSL: M/V COMMON CALYPSO, ORDER: JAN-A2623B | MV COMMON CALYPSO.xls |
Re:invoice and PL 26/01/2023 | invoice and PL 26012023.zip |
Prompt Response | DoubleClick to DOWNLOAD.one |
ETSO Kodu hk. | ETSO_ Kodunuz40Z000004399566L..exe.xz |
Re: [Reject]RV: OFERTA PO# 000938882 NSS | ApplicationReject_68390(Jan31).one |
PR.4828321- Request for Quotation | ATI HANDELS GmbH | RFQ #4828321.doc |
Hi! | HeartsOnFire.eXe |
Payments | 2023013150028399456770010.gz |
RE: Capital Tenders Group LTD PRICE REQUEST | Capital Tenders Group LTD PRICE REQUEST DOC.r11 |
Nueva lista de pedidos y productos solicitados | #Nueva lista de pedidos y productos solicitados.pdf.img |
FOB Shenzhen price for its MOQ | FOB Shenzhen price for its MOQ.r02 |
FW: Invoice & Signed Contract -NEW ORDER-038408 | Invoice & Signed Contract 20230201.gz |
FW: PO7574 | New Order PO039445.Pdf.exe |
MONEY REQUIRE | ttref01312023-pdf.gz |
ENEL ITALIA SpA_RFQ12345HG7$$ | RFQ12345HG7Solar&Wind Procurement.r00 |
Paid Invoice | invoice.pdf.z |
주의 키워드: ‘ONE’


가짜 페이지 (FakePage) C2 주소
가짜 페이지중 공격자가 만들어둔 로그인 페이지 유형에서 사용자가 자신의 계정과 패스워드를 입력할 경우 공격자 서버로 해당 정보가 전송된다. 아래 목록은 한 주간 유포된 가짜 로그인 페이지의 공격자 C2 주소이다.- hxxps://submit-form[.]com/QgFJw0n1
- hxxps://sagaschool.vip-saga.com[.]ua/wp-includes/zonic/newopo.php
- hxxps://newskoodai[.]com/press/bgLf4WBIDJaAjbgLf4WBIDJaAj
- hxxps://lifeushard[.]cyou/file.php
- hxxps://formspree[.]io/f/xdovnyrz
- hxxps://formspree[.]io/f/mgebolql
- hxxps://dearasia.bambooairways[.]com/wp-admin/inke/Macus_ssw.php
- hxxps://curriculums[.]cc/Xwery08/feedback.php
- hxxps://bkfkr.000webhostapp[.]com/kr/kr/act.php
- hxxp://charlesnewmarch.co[.]uk/wp-includes/4T4/mailform.php
- hxxp://benchmarkpk[.]com/wp-includes/@/cloudlog.php
- hxxp://accup.pluspluggg[.]com/mailb_fix.php
-
- 확인되지 않은 발신자에게 온 이메일에 포함된 링크, 첨부파일은 그 내용을 신뢰할 수 있기 전까지 실행하지 않는다.
-
- 로그인 계정을 비롯한 민감 정보는 신뢰할 수 있기 전까지 입력하지 않는다.
-
- 익숙하지 않은 파일 확장자로 된 첨부파일은 신뢰할 수 있기 전까지 실행하지 않는다.
-
- 안티바이러스를 비롯한 보안 제품을 이용한다.
-
- Phishing for Information(Reconnaissance, ID: T1598[1])
-
- Phishing(Initial Access, ID: TI1566[2])
-
- Internal Spearphishing(Lateral Movement, ID:T1534[3])

Categories:위협 통계