피싱 이메일 위협 유형
한 주간 피싱 이메일 첨부파일 중 가장 많은 위협 유형은 SmokeLoader, GuLoader와 같은 로더를 포함한 다운로더(Downloader, 37%)이다. 그 다음으로 많은 위협 유형은 가짜 페이지(FakePage, 25%)이다. 가짜 페이지는 공격자가 로그인 페이지, 광고성 페이지의 화면 구성, 로고, 폰트를 그대로 모방한 페이지로, 사용자가 자신의 계정과 패스워드를 입력하도록 유도하여 입력된 정보는 공격자 C2 서버로 전송하거나, 가짜 사이트로 접속을 유도한다. 아래 <가짜 페이지 C2> 참고 세 번째로 많은 위협 유형은 트로이목마 (Trojan, 19%)가 있으며, 이 외에 AgentTesla, FormBook와 같이 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 정보 탈취 악성코드(Infostealer, 16%), 취약점(Exploit, 1%), 웜(Worm, 1%)유형 등이 확인되었다. 피싱 이메일 첨부파일을 이용한 위협 유형과 그 순위는 <ASEC 주간 악성코드 통계> 로 매주 공개하는 악성코드 유포 순위와 유사하다.첨부파일 확장자
위에서 설명한 위협들이 어떤 파일 확장자로 이메일에 첨부되어 유포되었는지 확인하였다. 한 주간 피싱 이메일 첨부파일 유형의 특이사항으로는 악성코드를 은닉하기 위해 사용된 다양한 압축 확장자이다. 총 11가지 종류의 압축 확장자를 사용하였으며, 그 종류는 ARJ, GZ, R00, R01, R09, R19, RAR, Z, ZIP 총 9개이다. 이 외 가짜 페이지는 웹 브라우저로 실행되어야 하는 웹 페이지 스크립트(HTML, HTM, SHTML) 문서로 유포되었다. 정보 탈취 악성코드와 다운로더 악성코드를 포함한 그 외 악성코드는 ZIP, R00, RAR등 다양한 압축파일 및 IMG 디스크 이미지 파일, PDF 문서 파일 등을 포함한 다양한 파일 확장자로 이메일에 첨부되어 들어왔다.
유포 사례
2023년 02월 26일부터 03월 04일까지 한 주간 유포 사례이다. 가짜 로그인 페이지 유형과 정보유출, 다운로더, 취약점, 백도어를 포함한 악성코드 유형을 구분하여 소개한다. 이메일 제목과 첨부파일 명에 등장하는 숫자는 일반적으로 고유 ID 값으로서, 이메일 수신자에 따라 다를 수 있다. 한글 제목의 유포 사례도 확인되었다. 글로벌하게 똑같은 영문 제목과 내용으로 유포되는 것이 아닌 국내 사용자를 공격 대상으로 한 사례이다.사례: 가짜 로그인 페이지 (FakePage)
이메일 제목 | 첨부파일 |
FedEx 발송물 도착 알림 | AWB#989345874598.html |
New DHL Shipment Document Arrival Notice / Shipping Documents / Original BL, Invoice & Packing List | (DHL) Original BL, PL, CI Copies.htm |
FedEx #003791-748294 발송 도착 알림 | Invoice.AWB#84248_pdf.htm |
Purchase order PO5118000306 | PO5118000306.htm |
Request_for_Quotation | Request_For_Quotation_12943928484_Supply.htm |
CONTRATO NOTASNFE 202522950 Vencimiento. 24/02/2023 (692129) | ComprobanteFiscal_508425.html |
BD 51 & SISAMO X STS OPERATION – SHINAS ANCHORAGE SHIPMENT | BD 51 SISAMO X STS OPERATION – SHINAS ANCHORAGE SHIPMENT.htm |
Gallop Shipping Co. LLC – Invoice | TransactionDetails_03-03-2023.htm |
Quotation for March Order | Quotation sample.xlsx.shtml |
New Order | Quote sheet.html |
Payment Reference 1678/3000765567 Vendor – countec-*****@*******.com | __EFT_353877883.htm |
inquiry | RFQ FROM BIOIMMUN MED. LAB. DIAG. LLC.pdf |
[FedEx] 관세 납부 안내(Tax notification) | Tax-Notification.html |
ACH Payment sent On: Wednesday, March 1, 2023 11:22 a.m. | Paymentreceipt.shtml |
CONTRATO NOTASNFE 202522950 Vencimiento. 24/02/2023 (161012) | ComprobanteFiscal_508425.html |
Payments Invoice Order//TRN #100038927800003 | Payment copy.html |
[페덱스] 수입세금 납부마감 안내 – (INV and AWB) | OrderFedExShipment.html |
견적요청_**테크_20230223 | [G0170-PF3F-23-0223].html |
모든 수신 메일이 보류되었습니다. | h**nd**rb.com.html |
사례: 악성코드 (Infostealer, Downloader 등)
이메일 제목 | 첨부파일 |
견적의뢰서 / ******* ( |
**181***001.zip |
LEGAL ACTION ON YOUR COMPANY FOR LONG OVERDUE INVOICE | Overdue Invoices.zip |
RE: Qoutation Required | folder request details.rar |
DHL Shipment /AWB9697364509HJ /DELAY NOTICE/ | AWB9697364509HJ.zip |
RE: FW: RE: RE: Worksheet | WSNLBQSCPK2023.IMG |
RFQ#83785ABP | RFQ#83785ABP_REQUEST_F0R_QUOTATION_GREEN_SPEED_IMPORT_SERVICEs.arj |
RFQ MEC/MTL/210885 | RFQ_MEC_MTL_210885SEAH POSO.zip |
RE: [EXTERNAL] Re: New order | New order list is attached.zip |
LEGAL ACTION / LONG OVERDUE INVOICE | DETAILS AND INVOICES 1.IMG |
NEW JOURNEY – PRICE INQUIRY | INQUIRY.IMG |
Your DHL Parcel Just Arrived | INVBL.IMG |
Order 428278 vom 0203.2023–ZA860 | 02.03.2023–ZA860 Order 428278 vom.ARJ |
FWD: 30% down payment. | Scan_PI1.img |
RFQ3015180 | RHGP0987654456-098.Z |
ORDER Placement: PO 012911048 | PO 012911048.gz |
RE: PO//Stock Pipe: RFQ 020323(MECH)NBI/Mar 02-23 | Purchase Inquiry_pdf.rar |
FW: New Order no. 5959 | Nuevo pedido 7887979-800898.gz |
Nova Ordem | NOVA ORDEM.ISO |
Purchase order PO2302-0015 | PO1901-0014.arj |
RE: Impex PO order 2023-1 | PO_03012023.docx |
Acrylic Land LLC – Company Profile | ACRYLIC PROFILE INTRO.r00 |
beautiful photos | myact.jpg.scr |
COST WORKING : UPP | G2 | RFQ – Part Cost & FTG | 0304DP200560N | RFQ KIIT.r01 |
DHL Shipment Notification : 4319464144 | DHL Shipment Notification 4319464144.zip |
Fw: PAYMENT PROOF | 02.27.2023_MT103_TRF0123654378_Swift.zip |
Fwd: New PO | Purchase Order 6569401_D3356731 buy 1118_02.27.23.zip |
New enquiry | 171MES_S Quote.r19 |
nice picture private | myphotos.exe |
order | Quotation UBG361Q.r19 |
PAYMENT – 5907275 | SWIFT 5907275.rar |
Payment Copy | payment copy.rar |
Payment copy | TTRES322023re-pdf.gz |
PO-000001306 | PO-000001306.gz |
PURCHASE ORDER | PO.r00 |
PURCHASE ORDER 11Z5374DV4 | 11Z6O3HRF.r00 |
RE: Outstanding balance | SOA.xls |
RE: Purchase Order P1157343 | Product for Purchase pdf.gz |
RE: Receipt Of Payment | Payment SwiftMT103 pdf.gz |
Request for Quotation – RFQ | RFQ 28022023_02.img |
Solicitud de estados de Pedido | Orden de compra.r09 |
URGENT TREAT | TTRES322023-pdf.gz |
Withdrawal Notification | WITHDRAWAL NOTIFICATION-pdf.gz |
주의 키워드: ‘관세&세금’
- 공격자 서버 : hxxps://yjaton[.]cf/.well-known/pki-validation/cabal/mxl.php


가짜 페이지 (FakePage) C2 주소
가짜 페이지중 공격자가 만들어둔 로그인 페이지 유형에서 사용자가 자신의 계정과 패스워드를 입력할 경우 공격자 서버로 해당 정보가 전송된다. 아래 목록은 한 주간 유포된 가짜 로그인 페이지의 공격자 C2 주소이다.- https[:]//www[.]dom[.]lk/fdx[.]php
- https[:]//submit-form[.]com/UJq6c9ul
- http[:]//martinamilligan[.]co[.]business/ono/fdx[.]php
- https[:]//submit-form[.]com/DwE6qixd
- https[:]//www[.]dmuchanceinamioty[.]pl/pdf[.]php
- https[:]//www[.]boxnotrading[.]com/fedex-e/fdpxoGur23f[.]php
- https[:]//formspree[.]io/f/meqwkoeg
- https[:]//yjaton[.]cf/[.]well-known/pki-validation/cabal/mxl[.]php
- https[:]//formspree[.]io/f/xyyaekej
-
- 확인되지 않은 발신자에게 온 이메일에 포함된 링크, 첨부파일은 그 내용을 신뢰할 수 있기 전까지 실행하지 않는다.
-
- 로그인 계정을 비롯한 민감 정보는 신뢰할 수 있기 전까지 입력하지 않는다.
-
- 익숙하지 않은 파일 확장자로 된 첨부파일은 신뢰할 수 있기 전까지 실행하지 않는다.
-
- 안티바이러스를 비롯한 보안 제품을 이용한다.
-
- Phishing for Information(Reconnaissance, ID: T1598[1])
-
- Phishing(Initial Access, ID: TI1566[2])
-
- Internal Spearphishing(Lateral Movement, ID:T1534[3])

Categories:위협 통계