주간 피싱 이메일 유포 사례 (2024/09/15~2024/09/21)
본 포스팅에서는 2024년 09월 15일부터 09월 21일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례 정보(이메일 제목, 첨부파일, URL)를 제공한다. 가짜 로그인 페이지 유형(FakePage)과 악성코드 유형(정보유출, 다운로더, 취약점, 백도어 등)을 구분하여 소개한다. 유포 사례에서 다루는 피싱 이메일은 첨부파일이 있는 이메일만을 대상으로 한다. 이메일 제목과 첨부파일 명에 등장하는 숫자는 일반적으로 고유 ID 값으로서, 이메일 수신자에 따라 다를 수 있다.
가짜 로그인 페이지(FakePage)
| 이메일 제목 | 첨부 파일명 |
| DHL-Korea ****** 신규 도착 배송 문서 &******.biz 배송 세부 정보가 포함된 지불 송장#071 | Dhl- ******@******.******-bill-80000#yk9864.pdf..shtml |
| DHL-Korea ****** 신규 도착 배송 문서 &******.co.kr 배송 세부 정보가 포함된 지불 송장#071 | Dhl- ******@******.******-bill-80000#yk9864.pdf..shtml |
| DHL-Korea ****** 신규 도착 배송 문서 &******.co.kr 배송 세부 정보가 포함된 지불 송장#071 | Dhl- ******@******.******-bill-80000#yk9864.pdf..shtml |
| 첨부도면 견적요청 드립니다.(****** 입니다.) | New Order PI357291.html |
| 【Top urgent】#FedEx 발송물 도착 알림 | 3703658_FedexInvioce#Track837036_xsl.shtml |
| DHL-Korea ****** 신규 도착 배송 문서 &******.co.kr 배송 세부 정보가 포함된 지불 송장#071 | Dhl- ******@******.******-bill-80000#yk9864.pdf..shtml |
| DHL-Korea ****** 신규 도착 배송 문서 &******.or.kr 배송 세부 정보가 포함된 지불 송장#071 | Dhl- ******@******.******-bill-80000#yk9864.pdf..shtml |
| DHL-Korea ****** 신규 도착 배송 문서 &******.or.kr 배송 세부 정보가 포함된 지불 송장#071 | Dhl- ******@******.******-bill-80000#yk9864.pdf..shtml |
| DHL-Korea ****** 신규 도착 배송 문서 &******.biz 배송 세부 정보가 포함된 지불 송장#071 | Dhl- ******@******.******-bill-80000#yk9864.pdf..shtml |
| DHL-Korea ****** 신규 도착 배송 문서 &******.co.kr 배송 세부 정보가 포함된 지불 송장#071 | Dhl- ******@******.******-bill-80000#yk9864.pdf..shtml |
| DHL-Korea ****** 신규 도착 배송 문서 &******.or.kr 배송 세부 정보가 포함된 지불 송장#071 | Dhl- ******@******.******-bill-80000#yk9864.pdf..shtml |
| DHL-Korea ****** 신규 도착 배송 문서 &******.co.kr 배송 세부 정보가 포함된 지불 송장#071 | Dhl- ******@******.******-bill-80000#yk9864.pdf..shtml |
| DHL-Korea ****** 신규 도착 배송 문서 &******.biz 배송 세부 정보가 포함된 지불 송장#071 | Dhl- ******@******.******-bill-80000#yk9864.pdf..shtml |
| DHL-Korea ****** 신규 도착 배송 문서 &******.co.kr 배송 세부 정보가 포함된 지불 송장#071 | Dhl- ******@******.******-bill-80000#yk9864.pdf..shtml |
| 수출입 관련 FedEx 부가 서비스 안내 | inv doc.shtml |
| DHL-Korea****** 신규 도착 배송 문서 &******.co.kr 배송 세부 정보가 포함된 지불 송장#071 | Dhl- ******@******.******-bill-80000#yk9864.pdf..shtml |
| DHL-Korea ****** 신규 도착 배송 문서 &******.co.kr 배송 세부 정보가 포함된 지불 송장#071 | Dhl- ******@******.******-bill-80000#yk9864.pdf..shtml |
| DHL-Korea****** 신규 도착 배송 문서 &******.com 배송 세부 정보가 포함된 지불 송장#071 | Dhl- ******@******.******-bill-80000#yk9864.pdf..shtml |
| Final Alert, Review Your Info. | Review-Info.Html |
| PO/KAN/62/2024-25 | POKAN622024-25_pdf.html |
| Request for quotation from JDW GROUP – # J-230512-31246 – 111553 – 31246 | JDW GROU.htm |
| 回?:??:New order for Chongroyuhak Co.,LTD | New Order_List.Scan100.htm |
| DHL WAYBILL DOCUMENTS ARRIVED. DOWNLOAD TRACKING NUMBER // ORIGINAL BL, INVOICE & PACKING LIST | DHL_Waybill Invoice Documents .html |
| Import Customs clearance for shipment. | FedexInvioce#Track9102024_xsl.shtml |
| Shipping Docs Arrival tracking #1944719361 | Shipping_Docs.html |
| FedEx AWB # – xx20203511 docs | 175166175166_FedexInvioce#Track.shtml |
| R: Informazione pagamento – Tecnavan interiors | Trasferimento Sepa.html |
| REMINDER: You have 2 unpaid invoices FT#746959622 | INVOICE WAITING FOR PAYMENT.pdf |
| Quotation Request | Quotation ******@******.com.html |
| Status : Your DHL Parcel Just Arrived | DHL Report .SHTML |
| Message from Unavailable Caller September 18, 2024 | vmail_Tanker_wav.html |
| ******@******.comYou have an incoming files via WeTransfer_[PAYMENT VOUCHER.pdf] | Payment pdf.shtml |
| ******@******.comYou have an incoming files via WeTransfer_[PAYMENT VOUCHER.pdf] | Payment pdf.shtml |
| Purchase Order UHS -Laos /PO 11037 | PO 11032_pdf.html |
| Purchase Order-020/POR/0900697326 | PO_921340_pdf.htML |
| Purchase Order-020/POR/0900782656 | PO_196807_pdf.HTM |
| Notification New DHL Shipment Document Arrival Notice / Shipping Documents / Original BL, Invoice & Packing List: #***********3Shipment BL :Cargo Loading, BL: &54*** Container | [8.40KB] Original BL# Invoice & Packing List_JPEG.html |
| Maresk Shipping: Diffculty In Locating Your Address | BILL OF LADING.shtml |
| Re: Your Account Update Information – Your Amazon Account Will Be Updated #6277272811 | AMZ-INFORMATION #6277272811.pdf |
| Document from Chib?nir | qtrAR.htm |
| Vendor Bank Update Form for Electronic Payment | VENDORS BANK UPDATE DECLARATION.shtml |
| Award Winning View Attached | YAHOO-AWARD-WINNING-NOTIFICATION-SEPTEMBER-2024.doc |
| Arrival Notice with Invoice OOLU4054224012 | NCOUV- 034W | 11008211092419_custom copy.pdf |
| Fw: Purchase Order#674932 RFQ | Purchase Order#674932.html |
| Purchase Order-020/POR/0900982466 | PO_754802_pdf.HtMl |
| ******@******.comYou have an incoming files via WeTransfer_[PAYMENT VOUCHER.pdf] | Payment pdf.shtml |
| 回?:??:New order for Coei Co.,LTD | New Order_List.Scan100.htm |
| Payment Completed ? Navis-Ams ? 16/Sep/2024 Ref: #3416940831 | Remitance – Navis-Ams Doc8182024_2813451834.html |
| REQUEST FOR PRICE QUOTATION | Pricelist.pdf |
| EFT Remittance Advice | EFT_02792.html |
| SWIFT USD | Payment.shtml |
| Remittance Advice ? Navis-Ams Invoice 996206 ? 16/Sep/2024 Ref: #9135908641 | Remitance – Navis-Ams Doc8182024_7741049612.html |
| Voice MSG Received – From: Sign-In Verification (Caller #1321300-422), Mon 20.9.2024 07:20:55, 00:01:30 DURATION, File:”VMail_7156823002_206_20240917161811″ <******@******.net> | Play_VM-Now-j01141344-CLQDkha.or.kr.html |
| ******@******.co.krYou have an incoming files via WeTransfer_[PAYMENT VOUCHER.pdf] | Payment pdf.shtml |
| ******@******.comYou have an incoming files via WeTransfer_[PAYMENT VOUCHER.pdf] | Payment pdf.shtml |
| Confirmation: Payment to Navis-Ams Processed ? 16/Sep/2024 Ref: #8657350455 | Remitance – Navis-Ams Doc8182024_6668144819.html |
| ******@******.co.krYou have an incoming files via WeTransfer_[PAYMENT VOUCHER.pdf] | Payment pdf.shtml |
| Payment sent on 30/08/2024 00:24 . | (Payment Advice.PDF).htm |
| ******@******.comYou have an incoming files via WeTransfer_[PAYMENT VOUCHER.pdf] | Payment pdf.shtml |
| Purchase Order-020/POR/0901280596 | PO_795804_pdf.HTML |
| R: Informazione pagamento – Tecnavan interiors | Trasferimento Sepa.html |
| FW: AW: WG: Order | CCF_002975.pdf.html |
| Proposal of replacement | Proposal repairs.pdf.Html |
악성코드(Infostealer, Downloader 등)
| 이메일 제목 | 첨부 파일명 |
| 운송장 및 상업 송장 BL/CI | Amended Order PO-001-58520918235.zip |
| PRE-ALERT // HAWB : ANL2209036// INV NO -609983789 | PRE-ALERT HAWB ANL2209036.rar |
| [Remittance Notification] RT-TECH_USD 2,325.00 RE: Your PO PORT2404-30R | TTCABLE(PPG).rar |
| Hesap hareketleriniz | hesaphareketi-01.bz2 |
| Packing List_ U0190219.xlsx | Packing List_ U0190219xlsx.gz |
| =?windows-1252?Q?Commande_n=B0_A2024E0351_(Certificate__No._A2024E0351)?= | ESSE 9-13.xls |
| Re: Trip Account issues : MV China Energy / 2024.09.16 | AGM.pdf.z |
| HAODA ORDER FOR KSA | PR 1000231795.rar |
| RE: REQUEST FOR QUOTE: PO-#24012024/1435 | PO-24012024.htm |
| Re: Inquiry Order | PURCHASE ORDER_601032.7z |
| RE: MT Aragona / Agency Appointment For Loading Crude Oil: 542, | 09. Aragona Vessel’s Details.xlsx.z |
| 000 bbls (+/- 10%) | SRO.pdf.z |
| SAO ROSE OF SHARON – CREW CHANGE/ CTM USD50,000 ARRANGEMENT | PR 1000231795.rar |
| ENQUIRY FOR SCHNEIDER Disbo DB -KCSJ-2978-24 | BL SHIPPER,,,,,,,pdf.bat |
| Re: Amended Order PO-004-592418235 | Order Inquiry RFQ #278823_pdf.7z |
| Order Inquiry RFQ #278823 | PR 1000231795.rar |
| RFQ 20230914 | AscoValv.7z |
| Asco Valve Shanghai Order/PO-011024 | AUGSOAr.rar |
| AUG 2024 SOA | DHLShipp.gz |
| AWB – Shipping Documents & BL | DHLShipp.gz |
| DHL AWB – Shipping Documents & BL | DHL-CBJ5.rar |
| DHL Express Courier Pickup Cancel CBJ520818836689 Confirmation | DHLShipp.gz |
| DHL Shipping Documents & BL | RFQ-8800.gz |
| Fw: Treat With Urgency!! | Globale-.7z |
| Global e-Banking Payment Advice | HAWB#SHK.rar |
| HAWB #SHKGA0004506 | POE32780.rar |
| New Order PO E3278037 | NEWPO-09.gz |
| NEW PO-09162024 | 10104468.zip |
| RAIS HASSAN SAADI L.L.C. FZE USD89,425.82 | NewOrder.rar |
| RE: New Order RFQ- 19A20060 Quote for Export N1174 | SWIFTMES.gz |
| RE: PAYMENT RECEIVED -SEPT 17/2024 | PI-23603.bz2 |
| RE: PI-236031 RE: Incorrect Bank details/PAYMENT OF USD82,130/PO881620-2024/SEPT BALANCE PAYMENT | Purchase.gz |
| Re: Purchase Order | NEWPURCH.r00 |
| RE: PURCHASE ORDER FOR STOCK ITEMS AS PER PO NO: 094637 | PO-12724.7Z |
| RE: Request for proforma Invoice-PO-12724/12662. PN2023-W101 | EGYTVRGR.exe |
| RE: RFQ#2126183//FOB | Shipping.exe |
| RE: Shipping Doc Proposed Checklist | SPWAW25-.tar |
| RE: SPW AW25 – PO.010 SMS | updatedS.r01 |
| RE: updated SOA | USDPayme.rar |
하기 IoC상 MD5는 이메일에 첨부된 피싱 페이지 및 악성코드의 MD5 해쉬이며, URL은 피싱 페이지를 통해 사용자 계정 정보가 유출되는 C2 정보이다.
0154fe9c5f4ad81beeedcf4fdb397ed4
0188d3abfe29bc39a3c0adc9299ab690
02f0c2551ebe4de8c912e8ed8a3d418e
0b3df67a751e84b3d7f4f0f7a8b5a687
0b9846499a4a19cb098ae73449911726
https[:]//22mektep[.]edu[.]kz/send[.]php
https[:]//alerzal[.]ru[.]com/spacbikepa[.]php
https[:]//andcartaxo[.]com[.]br/marsk/Data/data[.]php
https[:]//giomugues[.]com/ygsnMuns/feedback[.]php
https[:]//khoms222[.]ir/au/js/file/pdfz[.]php
AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.
