주간 피싱 이메일 유포 사례 (2024/07/21~2024/07/27)
본 포스팅에서는 2024년 07월 21일부터 07월 27일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례 정보(이메일 제목, 첨부파일, URL) 를 제공한다. 가짜 로그인 페이지 유형(FakePage)과 악성코드 유형(정보유출, 다운로더, 취약점, 백도어등)을 구분하여 소개 한다. 유포 사례에서 다루는 피싱 이메일은 첨부파일이 있는 이메일만을 대상으로 한다. 이메일 제목과 첨부파일 명에 등장하는 숫자는 일반적으로 고유 ID 값으로서, 이메일 수신자에 따라 다를 수 있다.
가짜 로그인 페이지(FakePage)
| 이메일 제목 | 첨부 파일명 |
| 전자세금계산서 **승사 (**사->(주)*********사사무소) | NTS_eTaxInvoice.html |
| FedEx 관세 지불 기한 정보 – AWB#77600748349 | FedEx_Document.html |
| Invoice #4587 | Order Spec.pdf.shtml |
| Shipment Document Arrival Notice | Original BL CI Copies.shtml |
| FW: RE: Signed OTL Equip Inv for hyundairb.com | 2024_4800269863_XLSX.shtml |
| Parcel Delivery Information #FedEx_Shipment | FedEx_Document.html |
| email termination | sales@*****.com_upgrade.htm |
| Re: Re: Re: Re: PO#00873993 – PI & PL & BL | PO#00873993.html |
| Employee Benefits Report received on 22/07/24 | 2024-6426.docx |
| PO 0221-1 payment-1 | PO1-09-7-24.pdf.html |
| Quote DT04-12PB-P021 TE | RevisedQuote.pdf.html |
| FW: RE Autoneum PO#5800269863 for ******.com | PO#59003600863 _XLS.html |
| Account statement now available for *****.****7/18/2024 12:44:26 a.m. | *****.****@****.com_2024,227719864_Fullstmt_pdf.html |
| Employee Benefits Report received on 20/07/24 | 2024-2051.docx |
| Pilkyu Jang IMPORTANT DOCUMENT – Tuesday-July-2024 11:19 AM – DWRAWNRAO | Kolon.pdf |
| Account statement now available for *****.***7/18/2024 12:37:20 a.m. | *****.****@***.com_2024,227719864_Fullstmt_pdf.html |
| Invoice for Your Recent Purchase – Order #4508825. | Order_45.pdf |
| FW: RE Autoneum PO#5800269863 for ***.com | PO#59003600863 _XLS.html |
악성코드(Infostealer, Downloader 등)
| 이메일 제목 | 첨부 파일명 |
| Lukem Me DMCC – Quotation Required | RFQ-8643.rar |
| Inquiry Regarding An Urgent Supply | Product for Supply PDF.7Z |
| ETD:_JUL_25_//MB/L:_ 278738725/_HB/L:_CC-24070020CGP-A | Shipping Docs.r00 |
| PICKUP INV NO : 6793174 | invoice copy.zip |
| Re: Re: Payment Statement for **** updated by ** at 12-June | DEBIT NOTE.zip |
| PR-241000993 – ( DRAWING ATTACHED ) | RFQ_PR_241000993.docx |
| RE:PAYMENT DUE & SHIPMENT STATUS | SHIPMENT DOCUMENT.zip |
| Autogenerated mail – Vendor Payment Advice | RTGSPaym.IMG |
| new order and delivery | Receipt0.zip |
| New order PO and forecast week 29 / rail shipment | FORECAST.tar |
| New RFQ from Scania | NewPOCom.tar |
| Payment Advice | PAYMENT_.IMG |
| Payment Confirmation | PAYMENT_.IMG |
| RE: Purchase Order 0095RQ24S79 | 0095RQ24.r09 |
| Re: Confirm Bank Details | BankOfCh.rar |
| RE: FW: Quotation N0 7033 | Quotatio.gz |
| Re: Order Confirmation | Ordercon.IMG |
| Re: Scan_SKMBT_EPDA _ SOA_Payment Reference TR-37827392-2024-07-24 | Scan_SKM.gz |
| Re: Shipping Doc Proposed Checklist | Shipping.rar |
| RE: Stadium: DPEB08-2SDC – SS25 Price C246SH32 | PaymentA.tar |
| REQUEST FOR ENQUIRY | Shipment.IMG |
| REQUEST FOR QUOTATION : – AL HAYAT DUBAI UAE PRODUCTION RFQ 2024. // SEND BEST OFFER TODAY | HS23ED2R.Gz |
| Request for Quotation & New Design | StageMix.jar |
| Urgent – GP Design INV20230103 $68,320 | TVC40300.UUE |
| Urgent Quote. | GPO24-25.img |
하기 IOC상 MD5는 이메일에 첨부된 피싱 페이지 및 악성코드의 MD5 해쉬이며, URL은 피싱 페이지를 통해 사용자 계정 정보가 유출되는 C2 정보이다.
08a07a333377b2aa8c1f871887c05589
12625d3c1d38572dc40c61a631fee27a
189d8b8fb671b79687f90eb2e92a77e9
1ef11ed8593953742ca4056c2360ae6d
2095864fcef120721f2e91dac46a6738
https[:]//cubecenter[.]ro/po/exc[.]php
https[:]//elojobsky[.]com/joor/PDF[.]php
https[:]//nocodeform[.]io/f/66810e5d490091b850f8975e
https[:]//nocodeform[.]io/f/6699a11f3c96cf8416398f1f
https[:]//nocodeform[.]io/f/6699c70a4fec2b3a6b1d1a91
AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.
