주간 피싱 이메일 유포 사례 (2024/08/11~2024/08/17)
본 포스팅에서는 2024년 08월 11일부터 08월 17일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례 정보(이메일 제목, 첨부파일, URL) 를 제공한다. 가짜 로그인 페이지 유형(FakePage)과 악성코드 유형(정보유출, 다운로더, 취약점, 백도어등)을 구분하여 소개 한다. 유포 사례에서 다루는 피싱 이메일은 첨부파일이 있는 이메일만을 대상으로 한다. 이메일 제목과 첨부파일 명에 등장하는 숫자는 일반적으로 고유 ID 값으로서, 이메일 수신자에 따라 다를 수 있다.
가짜 로그인 페이지(FakePage)
| 이메일 제목 | 첨부 파일명 |
| [DHL KOREA] 관세 납부 안내 | DHL DOCUMENT.htm |
| **특약점 ****(주) | Specification_HT_20240809.html |
| 전자세금계산서(***)->회계법인***) 새창에서 읽기 | NTs_eTaxInvoice.htm |
| 您已收到新的51电子发票【发票号:67479463】 | Shipment.docs.html |
| 견적요청_****_20240826 | (G0170-PF3F-21-0329).HTML |
| *****.***@******.co.kr받은 새 전자 영수증[영수증 번호: 450029801620190806031447 | NTS_eTaxInvoice.html |
| Your latest DHL Invoice: ORIGINAL INVOICE for account:: 965886791 | invoice & Tracking NumberHT11965140936.htm |
| Warning-****.or.kr-Suspension | Outlook365-closure form.pdf |
| Transaction Advice / 0016OT4112740222 / EBOTT40807185163 | Pay-slip #0016OT4112740222 _ EBOTT40807185163.shtml |
| Shipment Document Arrival Notice | Original BL CI Copies.shtml |
| RFQ#ORDER-3MT-ZYAC-091-27-SUPPLY | 3MT_Order_RFQ_J247_PO-2024_pdf.shtml |
| Request For Quotation | New Order#83493454PDF.shtml |
| RE: SHIPPING ADVICE FOR vn@****.com | vn_Shipping_document_PDF.shtml |
| Re: RFQ PO Inquiry SODAS Quote 011556 | SODAS Quote 011556 pdf .shtml |
| RE: DOCUMENT INVOICES | invoice balance.html |
| RE: [EXTERNAL] RFQ: PO-#0094321 | PO-#0094321.html |
| Purchase order PO0063165 | PO0063165-CHEM-IMPEX 2024_XLS.html |
| Order 40FT CONTAINER RFQ | Purchase Order TYD003627 RFQ.html |
| New Order SV-8802 | PO_SV-8802.htm |
| Lge | PaymentProcessed.pdf324.August 08, 2024 | attachDocx.docx |
| Inquiry RFQ new project / From GLORY ON **** CO.,LTD | *****@***.com.New_Order.html |
| FW: QUOTE# 184845-0000 | Work_Order#184845.shtml |
| From (REMOTE ID:5507933017) Inbound FAX-Delivery For dezs*****@****com | ***.com_FAX MSG-590-XXXX.htm |
| DHL Express Shipment Arrival Notification For *****@*****.com | DHL SHIPPING DOCUMENT.html |
| Confirm Tracking And Shipment Details | DHL DOCUMENT.htm |
악성코드(Infostealer, Downloader 등)
| 이메일 제목 | 첨부 파일명 |
| 파일 검사의 요청의 건 | nssm.exe |
| 계정 업데이트 | 계정 업데이트.html |
| RE: Request For Quote – Urgent ! | MSK332871.IMG |
| RE: Reservations Inquiry | Booking053.img |
| RE: Over Due Payment – Urgent Reminder! | Due Invoices.img |
| RE: Re New Booking | New-Booking.7z |
| Signature for your Benefit reward | Benefit_Reward plan#65242436.tbz |
| Payment Advice – Advice Ref:[A2751TGzHWc] / ACH credits / CustomerRef:[CR-008122024] / Second Party Ref:[] | HSBC Advice_ACH_Credit_08122024.xls |
| Request For Quotation 34333 | Request For Quotation 34333.zip |
| PO114451(JABIL),PO114456(HZ GREEN) , PO114450(STOCK) | PO114450.xla |
| Re: DHL Shipping Notification 9407155789 | DHL9407155789.zip |
| order For 2nd Quater 2024 | rfq_commercial_order_general_goods_list_for_Drumedis_tender_august_quater_2024.xls |
| DHL Failed Delivery Notification | DHL 733900905AA.xla |
| Hello | FTL-0312203.7z |
| Re: Pago | Copia de pago bancario.zip |
하기 IOC상 MD5는 이메일에 첨부된 피싱 페이지 및 악성코드의 MD5 해쉬이며, URL은 피싱 페이지를 통해 사용자 계정 정보가 유출되는 C2 정보이다.
01bdc380d1a24de445865a09c7c979c9
025e7ac333e5b8a7a32a48b2d25a10ce
038ec453071e7b0ebf397bf884e318f8
099deb991be42dfb5131d32ed57a9f01
0a6d912a8d311b65ec2d53988d088d40
https[:]//contact[.]deegree[.]shop/l[.]php?comms=
https[:]//digitaldoer[.]co/wp-content/plugins/hnlvslf/new/welog[.]php
https[:]//formcarry[.]com/s/is_tlvA3a6g
https[:]//hobbies[.]collect[.]directory/awx/pdfz[.]php
https[:]//hopelessly-leading-lioness[.]ngrok-free[.]app/ph/me/pdfatt/favobi[.]php
AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.
