개요

AhnLab SEcurity intelligence Center (ASEC)에서는 샘플 자동 분석 시스템(RAPIT)과 허니팟을 활용하여 피싱 이메일 위협을 모니터링하고 있다. 본 포스팅에서는 2023년 4분기(10월, 11월, 12월) 확인된 피싱 이메일 공격의 유포 사례와 이를 유형별로 분류한 통계 정보를 제공한다. 일반적으로 피싱은 공격자가 사회공학 기법을 이용하여 주로 이메일을 통해 기관, 기업, 개인 등으로 위장하거나 사칭함으로써 사용자의 로그인 계정(크리덴셜) 정보를 유출하는 공격을 의미한다. 또한 피싱은 넓은 의미에서, 공격자가 각종 대상을 상대로 하는 정보 유출, 악성코드 유포, 온라인 사기 행위 등의 공격을 가능하게 하는 악의적인 속임수(technical subterfuge)를 뜻한다. 본 포스팅에서는 피싱이 주로 이메일로 유입되는 공격이라는 것에 주안점을 둔다. 그리고 피싱 이메일을 기반으로 하는 다양한 공격 방식들을 세부적으로 분류하였다. 그리고 기존에 발견되지 않은 새로운 유형이나 주의해야 할 이메일을 키워드와 함께 소개하여 사용자 피해를 최소화하려고 한다. 참고로 본 포스팅에서 다루는 피싱 이메일은 첨부파일이 있는 이메일만을 대상으로 한다. 첨부파일 없이 악성 링크만 본문에 포함된 이메일은 대상에서 제외한다.

통계

1) 첨부파일 위협 유형 통계

2023년 4분기 피싱 이메일 첨부파일 중 가장 많은 위협 유형은 가짜 페이지(FakePage, 50%)로 공격자가 로그인 페이지, 광고성 페이지의  화면 구성, 로고, 폰트를 그대로 모방하였으며 사용자가 자신의 계정과 패스워드를 입력하도록 유도하여 공격자 C2 서버로 전송하거나, 가짜 사이트로 접속을 유도한다. 두 번째로 많은 위협 유형은 정보 탈취 악성코드(Infostealer, 23%)로 AgentTesla, FormBook, AveMaria 와 같이 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 악성코드 유형이다.  세 번째 위협 유형은 트로이목마(Trojan, 13%)가 가장 많은 유형을 차지하였으며, 이 외에 다운로더(Downloader, 12%), 취약점(Exploit, 1%), 백도어(Backdoor, 1%), 순으로 확인되었다. 3분기 통계 대비 변화 추이는 대표적으로 가짜 페이지(FakePage, 50%)의 비율이 12% 증가하였으며, 트로이목마(Trojan, 13%) 악성코드의 비율이 9% 감소하였다. 그 밖에 정보 탈취 악성코드(Infostealer, 23%), 다운로더(Downloader, 12%)의 비율은 3분기와 비슷한 추이를 보였다.

2) 첨부파일 확장자 유형 통계

2023년 4분기 피싱 이메일 첨부파일 확장자는 가장 많은 확장자 유형은 압축파일(Compress, 41%)이었다. 압축해제시 정보 탈취 악성코드와 다운로더 악성코드를 포함한 다양한 악성코드가 존재한다. 확장자는 7Z(13%), RAR(8%), ZIP(4%) 순으로 유포되었다. 두 번째로 많은 확장자 유형은 웹 페이지 스크립트(Script, 39%) 문서로 웹 브라우져로 실행되는 가짜페이지(FakePage)에 해당하며, 확장자는 HTML(22%), HTM(8%), SHTML(5%) 파일이 유포되었다. 이 외에 문서(Document, 10%), 이미지파일(Image, 9%), 실행파일(PE, 1%) 이 확인되었다. 3분기 통계 대비 변화 추이는 압축파일(Compress, 45%)유형은 7Z 확장자가 3분기 대비 9% 증가하였고,  3분기 가장 많은 비중을 차지하던 ZIP 확장자가 6% 감소하였다. 스크립트(Script, 13%) 유형은 3분기 대비 HTML 확장자가 8% 증가하고, HTM 확장자가 9% 감소하였다. 이미지파일(Image, 9%)에서 ISO 확장자의 유포가 5% 하락하여 전체 수량 중 1%로 수량이 감소하였고, IMG 확장자가 3% 증가하는 추이를 보였다.