피싱 이메일 위협 유형
한 주간 피싱 이메일 첨부파일 중 가장 많은 위협 유형은 가짜 페이지(FakePage, 68%)이다. 가짜 페이지는 공격자가 로그인 페이지, 광고성 페이지의 화면 구성, 로고, 폰트를 그대로 모방한 페이지로, 사용자가 자신의 계정과 패스워드를 입력하도록 유도하여 입력된 정보는 공격자 C2 서버로 전송하거나, 가짜 사이트로 접속을 유도한다. 아래 <가짜 페이지 C2> 참고 그다음으로 많은 위협 유형은 정보 탈취 악성코드(Infostealer, 26%)이다. 정보 탈취 악성코드는 AgentTesla, FormBook 등이 포함되며 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출한다. 세 번째로 많은 위협 유형은 SmokeLoader, GuLoader와 같은 로더를 포함한 다운로더(Downloader, 9%)이다. 이 외에 트로이목마(Trojan, 9%), 취약점(Exploit, 2%), 웜(Worm, 1%)유형 등이 확인되었다. 피싱 이메일 첨부파일을 이용한 위협 유형과 그 순위는 <ASEC 주간 악성코드 통계> 로 매주 공개하는 악성코드 유포 순위와 유사하다.첨부파일 확장자
위에서 설명한 위협들이 어떤 파일 확장자로 이메일에 첨부되어 유포되었는지 확인하였다. 한 주간 피싱 이메일 첨부파일 유형의 특이사항으로는 악성코드를 은닉하기 위해 사용된 다양한 압축 확장자이다. 총 11가지 종류의 압축 확장자를 사용하였으며, 그 종류는 ZIP, R00, RAR, R01, R17, GZ, DAA, XZ, Z, ACE, LZH 이다. 이 외 가짜 페이지는 웹 브라우저로 실행되어야 하는 웹 페이지 스크립트(HTML, HTM, SHTML) 문서로 유포되었다. 정보 탈취 악성코드와 다운로더 악성코드를 포함한 그 외 악성코드는 ZIP, R00, RAR등 다양한 압축파일 및 IMG 디스크 이미지 파일, DOCX, PDF 문서 파일 등을 포함한 다양한 파일 확장자로 이메일에 첨부되어 들어왔다.
유포 사례
2023년 02월 19일부터 02월 25일까지 한 주간 유포 사례이다. 가짜 로그인 페이지 유형과 정보유출, 다운로더, 취약점, 백도어를 포함한 악성코드 유형을 구분하여 소개한다. 이메일 제목과 첨부파일 명에 등장하는 숫자는 일반적으로 고유 ID 값으로서, 이메일 수신자에 따라 다를 수 있다. 한글 제목의 유포 사례도 확인되었다. 글로벌하게 똑같은 영문 제목과 내용으로 유포되는 것이 아닌 국내 사용자를 공격 대상으로 한 사례이다.사례: 가짜 로그인 페이지 (FakePage)
이메일 제목 | 첨부파일 |
Scan Data from FX-1C7D2_16thFeb23 | Scan Data from FX-1C7D2_16thFeb23.PDF |
Advice on attach payment copy | HSBC WIRE PAYMENT.shtml |
Fwd: Paid Outstanding Invoice | Paid Oustandingt.shtml |
Original invoice customs clearance notification. | Original-invoice_jgj.htm |
TNT – AWB 04592648 | 04592648.shtml |
Original invoice customs clearance notice!!! | Original-invoice & PList_khkim1.htm |
[페덱스] 수입세금 납부마감 안내 – (INV and AWB) | FedExDocument.html |
Payment receipt On: Thursday, February 23, 2023 4:48 a.m. | Payment copy.pdf.html |
[FedEx] 도착 통지-원본 배송 문서 | Shipping_Invoice.xls.htm |
Order – PO2211000091 | Order – PO2211000091.htm |
Original invoice customs clearance notification | Original-invoice & PList_bonhogu.htm |
P23-0164 | Purchase Order P23-0164.html |
1 LETTER | DOC#5732.htm |
INV+PYMNT+PO 546890 | INV+PYMENT+PO 9878 .HTML |
BD 51 & SISAMO X STS OPERATION – SHINAS ANCHORAGE SHIPMENT | BD 51 SISAMO X STS OPERATION – SHINAS ANCHORAGE SHIPMENT.htm |
견적요청_아**테크 | [G0170-PF3F-23-0223].html |
Original Shipping Cargo – Proforma_Invoice/BL/Packing List | INV-2372-Shipping_documents-CERT-_BL_23072_PL-pdf.htm |
Re:FedEx Logistic | scan_document.html |
Scan Data from FX-1C7D2_170223 | Scan Data from FX-1C7D2_172022.PDF |
*DHL* e-Secure – Request of Your Correct Shipping Info For Your Pending Parcel*** | Consignment.htm |
รายการ RFQ และตัวอย่าง | RFQ-2023.shtml |
Hrt–0926381 Estimate | Hrt–0926381 Estimate-PDF.shtml |
Lembrete de vencimento! – Pedido: 35306 | Truefriend Remittance.htm |
Remittance_details_processed_today_23_February_2023 | ScannedDoc3374002.html |
SWIFT Payment has been scheduled to beneficiary on 06 FEB 2023 | invoice sheet.html |
FW: Payment | Sharepoint_Pending_Doc.htm |
FW: INV-6830 | INV-6830.htm. |
새로운 주문 | 새로운 주문.pdf |
Sports equipments inquiry# 82100694 | MAIL-20230216256_82100694.pdf |
FW: SHIPMENT ADVISE – ORIGINAL SCAN DOCUMENTS? | (DHL)Original BL,PL,CI_AWB#202207.pdf.htm |
DHL Shipping Document/Invoice Receipt | Original_Shipping_DOC#AWB.html |
DHL Shipment Notification | DHL–Express.html |
모든 수신 메일이 보류되었습니다. | h******b.com.html |
AWB – DISPATCH DOCUMENT | DOCUMENTOS INV AWB#.html |
Mailbox Quota Exceeded Thursday, February 23, 2023 5:5 a.m. | Mailbox Storage Guide .html |
인보이스 결제 처리됨:3015387043? | Order.html |
유***테크-발주서 송부의건 | PO-20023-****TECH.PDF.html |
Hrt–0627286 Estimate | Hrt–0627286 Estimate.shtml |
사례: 악성코드 (Infostealer, Downloader 등)
이메일 제목 | 첨부파일 |
Re[2]: very smart picture imortant | priv_photos.gif.exe |
Purchase order | PO.zip |
안녕하세요. 한국국제**학회 특별학술회의 1세션의 사회를 맡고 있는 조*훈 연구위원입니다. | [붙임] 약력 양식.doc |
PO_6734_00 | P.O_6734_00_Alumex.zip |
Shipping Documents | BL Draft and Shipping Documents.zip |
New Quotations Request! | New Quotations Request.zip |
LEGAL ACTION / LONG OVERDUE INVOICE | DETAILS AND INVOICES 1.IMG |
NEW PO-5420918701_2023 | NEW PO-5420918701_2023.gz |
LISTED MATERIALS NEEDED | MATERIALS NEEDED.7z |
JANUARY STATEMENT OF ACCOUNT | swift copy $68,000.00.zip |
RE:FedEx Notification of Arrival – AWB# 102235516763 | FedEx Express_ AWB# 102235516763.rar |
Purchase Order for CNA 98%. | PO 144 AAA.gz |
INTRODUCTION AND CATALOGUE OF TECHNOMED INDIA// | 2023 KOINAMED CATALOGUE.pdf.z |
Re: Re: Re: Re: New order | Order specification.exe |
Proof of transfer | dokazouplati.rar |
RE: DDP AIR IMPORT FROM LHR-AMD | H-GB3001051.zip |
Re:new order | Order-PO8962301457841.zip |
Re: Re: Over due payment for optical@*******solution.co.kr | Agreement,Invoice&SwiftCopy.zip |
Payment | Bank Payment & ORDER CONFIRMATION.img |
төлем шот-фактурасы | SH098765435678-0987.PDF.zIP |
DAMAGE GOODS/SETTLEMNET | DAMAGE GOODS.rar |
## New Order | ## New Oreder_Pdf.gz |
Payment Advice – Advice Ref:[76822853603] | Payment Advice.xls |
Urgent offer – Include freight price to – (Northern Orange county, Califonia) | 29744012.IMG |
Payment information | US$16,082.10 Swift.docx |
Lanieta Tuilakepa From Baklay Groups | Quotation & Sample designs.docx |
Re: Re: invoice payment application | Re invoice payment2242023-pdf.gz |
In arrears for 02-21-2023 # 7152607539 | PO#47360.url |
AW: PO-000001306 | PO-000001306.IMG |
Allaire Project -RFQ-FA2232023 | Allaire Project -RFQ-FA2232023.rar |
funds for all inv. settled | SKM20230216_$55580.88USD.ace |
Request for Quotation | ENQUIRY.IMG |
RE: TDK ORDERS 05.02.2023 (IMPORT) | TDK AEGPO-000664-22-23.rar |
RE: CL/140/2023//: Customs Clearance ///// BL_CI #SHIPPING – ATTENTION | BL_CL-2838374_3494432_Docx.XZ |
TR: DEMANDE DE SWIFTS (SWIFT REQUEST) | DEMANDE DE SWIFTS (SWIFT REQUEST).rar |
MV INLACO ACCORD / ETA: 20TH FEB ++ AGENT NOMINATION | DISCHG.IMG |
Re:Reservation for Honeymoon | Reservas Details.docx |
Fwd: New Order – Feb 2023 | Inquiry.zip |
Re Details | Payment.docx |
PO NO 0023 | PO NO 0023.zip |
QUOTATION REQUEST – 22 / 02 / 2023 – 0025 | 5523-7767.doc |
Send us your quotation ASAP | KOC2201123.rar |
RE:FedEx Notification of Arrival – AWB# 102235516763; Need PIB documentations | FedEx Express_1022355160763.rar |
21.02.2023 sevkiyat | sevkiyat.001 |
23190 CARI HESAP MUTABAKAT | HESAP.GZ |
Fatura | FATURA.LZH |
NS-chevron Malaysia – quotation request | Details specicafitions.rar |
Caixa Confirming facturas | 1082300000832.rar |
Invoice awaiting payment for 02-21-2023 # 1592189930 | PO#38341.url |
Re: Payment for Ps64756DS45 | Payment_Ps64756DS45.rar |
Your DHL Parcel Just Arrived | INVBL.IMG |
Re: Re: Fwd: RE: 그룹웨어 PC 메신저 설치 파일 전달 및 푸네 인터넷 속도 측정 요청 건 | KYC_AJ35(Feb15).one |
URGENT TREAT | urgent2212023-pdf.gz |
PAYMENT SLIP /BREAK UP | $40778.doc |
very cool picture PRIVATE | the-pic.jpg.exe |
DHL Waybill – 4274103106 | AME2669480075.html |
NEW JOURNEY – PRICE INQUIRY | INQUIRY.IMG |
Fwd: PO | interflux 230101.docx |
ORDER INVOICE | ORDER INVOICE.zip |
Approved Purchase Order | Purchase Order,xlsx.zip |
Eccentric Plug valve Technical DataSheet | Technical DataSheet.iso |
REVISED -Order 5879024-00/PO 4677/PO 4678 | PO feb.docx |
RE: PO/ POLYESTER PROGRAM WITH CROSS WEAR for SPORTY , SPRINT and STORM | PI 1010225.xls |
주의 키워드: ‘견적&발주서’
- hxxps[:]//winchestar[.]cc/dL0by9k/feedback[.]php


가짜 페이지 (FakePage) C2 주소
가짜 페이지중 공격자가 만들어둔 로그인 페이지 유형에서 사용자가 자신의 계정과 패스워드를 입력할 경우 공격자 서버로 해당 정보가 전송된다. 아래 목록은 한 주간 유포된 가짜 로그인 페이지의 공격자 C2 주소이다.- hxxps[:]//magicrides[.]bestwebmarketingtoolbox[.]com/142[.]11[.]192[.]179/sa/refpdf[.]php
- hxxps[:]//www[.]calvellirappresentanze[.]com/wp-content/plugins/TOPXOH/index/index/1/add[.]php
- hxxps[:]//www[.]nrwolff[.]com[.]br/wp-admin/maint/bv/mxl[.]php
- hxxps[:]//formspree[.]io/f/mgebkwwj
- hxxp[:]//highsb[.]com/X/access1[.]php
- hxxps[:]//www[.]calvellirappresentanze[.]com/wp-content/plugins/TOPXOH/new/add[.]php
- hxxps[:]//formspree[.]io/f/xqkoqbve
- hxxps[:]//tinyurl[.]com/5d6wz2zy
- hxxp[:]//freshly-food[.]com/wp-admin/dist/3d[.]php
- hxxps[:]//formspree[.]io/f/xeqweljp
- hxxps[:]//accommodationlosangeles[.]com/pdf/add[.]php
- hxxps[:]//cambiamarcia[.]net/wp-includes/pdf[.]php
- hxxp[:]//highsb[.]com/A@Z/cloudlog[.]php
- hxxps[:]//feurofood[.]com/wp-content/plugins/TOPXOH/index/index/1/add[.]php
- hxxps[:]//yjaton[.]cf/[.]well-known/pki-validation/mil/mxl[.]php
- hxxps[:]//updalced[.]website/wp-confort[.]php
- hxxps[:]//arvantina[.]shop//zeee/add[.]php
-
- 확인되지 않은 발신자에게 온 이메일에 포함된 링크, 첨부파일은 그 내용을 신뢰할 수 있기 전까지 실행하지 않는다.
-
- 로그인 계정을 비롯한 민감 정보는 신뢰할 수 있기 전까지 입력하지 않는다.
-
- 익숙하지 않은 파일 확장자로 된 첨부파일은 신뢰할 수 있기 전까지 실행하지 않는다.
-
- 안티바이러스를 비롯한 보안 제품을 이용한다.
-
- Phishing for Information(Reconnaissance, ID: T1598[1])
-
- Phishing(Initial Access, ID: TI1566[2])
-
- Internal Spearphishing(Lateral Movement, ID:T1534[3])

Categories:위협 통계