트렌드 피싱/스캠 악성코드

주간 피싱 이메일 유포 사례 (2024/09/22~2024/09/28)

  • 10월 07 2024
주간 피싱 이메일 유포 사례 (2024/09/22~2024/09/28)

본 포스팅에서는 2024년 09월 22일부터 09월 28일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례 정보(이메일 제목, 첨부파일, URL)를 제공한다. 가짜 로그인 페이지 유형(FakePage)과 악성코드 유형(정보유출, 다운로더, 취약점, 백도어 등)을 구분하여 소개한다. 유포 사례에서 다루는 피싱 이메일은 첨부파일이 있는 이메일만을 대상으로 한다. 이메일 제목과 첨부파일 명에 등장하는 숫자는 일반적으로 고유 ID 값으로서, 이메일 수신자에 따라 다를 수 있다.

 

가짜 로그인 페이지(FakePage)

이메일 제목 첨부 파일명
FedEx : 새 청구서 첨부 Membership Update #62772882.pdf
FedEx-Korea account 신규 도착 배송 문서 &account 배송 세부 정보가 포함된 지불 송장#071 2343123431_FedexInvioce#Track.shtml
메일 할당량: (98% 완료) ** Electronic-Invoices.shtml
顺丰电子发票开具须知 *****@*******.co.kr PO.html
Trial Order  Information for *****.***@***.com Payment Slip_pdf.htm
Statement| INV-123G23Q | kolon fHViWfEa.pdf
Shared Docs Via e-Doc Ref-64XMKUC3 ** Electronic-Invoices.shtml
September_payment_has_been_processed_today_-_23_September,_2024__-_#eGkgZtXN0Bh9kdN ** Electronic-Invoices.shtml
Request for Quotation – NPN 80024835 (Potassium Chloride)_ High Swift_Payment_(pdf).htm
Rechnung RE-019938929 Payment_mc1od3MdMxJVf17Confirmation_23 September, 2024.htm
Re:Order Amendment Purchase_Orders.pdf
Re: Your Account Update Information – Your Amazon Account Will Be ** Electronic-Invoices.shtml
Re: RE: Fw: 回复:Scan Doc~document Commercial invoice and draft Packing List commercial invoice.shtml
RE: RE: DHLShippingOrder-HJ12PEFAARHBK00392744 51468PE FPE2114135 ** Electronic-Invoices.shtml
Re: Order Details Purchase_Orders.pdf
Re: New PO-6090018128 PO-6090018128_pdf.htm
RE: Fw: 回复:PO_304849 Trial Order_5387526.pdf
RE: DHL 4056700476 – Cargo Arrival (Scheduled) Information scanned098_shipping_doc(tracking).html
RE: [EXTERNAL] RFQ: PO-#0094321 PO-#0094321.html
PURCHASE ORDER (7QCST) ** Electronic-Invoices.shtml
PO-2601 ** Electronic-Invoices.shtml
Payment with seal and signature ** Electronic-Invoices.shtml
Payment sent on 9/21/2024 3:45:15 a.m. Voicemail *********.html
Payment Advice – Ref: [BNPAUS3NXXX107751] / RFQ Priority Payment / Customer Ref: [PI-101623] 103#Dychodzace#PPABPLPKXXX#BNPAUS3NXXX#CEN2406190100903#PL21160011270003012284984023##nof0emie.cib-PDF.htm
New voicemail ********@*********.com commercial invoice.shtml
DHL Express Shipment Document/Tracking ** Electronic-Invoices.shtml
A personal note has come in for you Piotr Brzeszkiewicz-2024-DSTA_Employee Booklet.pdf
 Urgent to submit Offer PO-2601.pdf
 Updated #62772882 Payment Slip_pdf.htm
 Deadline for Benefits Enrollment ** Electronic-Invoices.shtml

악성코드(Infostealer, Downloader 등)

이메일 제목 첨부 파일명
베트남 프로젝트 제품 코드 KT-24556-2 견적 요청 KT-24556-2 ORDER DATASHEET.zip
[DHL KOREA] 청구서 안내 : ICNIR00382743 for account : 966881813 Import_Declaration_ICNIR00382743.rar
RE: PROFOMA INVOICE// SWIFT COPY SWIFT_COPY_17270081100334.pdf
Urgent Files Payment_Confirmation_Swiftcopy_MT103_09252024-ConfirmPaymentAlsanri_pdf.gz
FW: Order Confirmation Order 02.vbs
RE: RFQ_ Revised Order.img
RE: New order – Sachs & LMI 05 Aqaba Port SVU568208-VTN568078-PLX6892689O-VTER7689.BZ2
PURCHASE ORDER PURCHASE ORDER.zip
Re: PO-2602 PO-2602.pdf
Re:Order Confirmation Purchase Order 30.8769.bat
Documenti di spedizione Documenti di spedizione 0009333000459595995.img

 

하기 IoC상 MD5는 이메일에 첨부된 피싱 페이지 및 악성코드의 MD5 해쉬이며, URL은 피싱 페이지를 통해 사용자 계정 정보가 유출되는 C2 정보이다.

MD5

013a8973e8dcc36fa33eed190349eaba
01c27fe5d8bbf782a4189ef82e76335c
03d97528914c042b19e10ca3cb16a492
07dc1c806e7f0e0aec084ebe360df70c
0ad8d944883d9f6f9a35fee45ee0dca6
URL

https[:]//ewltyp[.]org/treatrepsock[.]php
https[:]//formspree[.]io/f/xeqwqvkq
https[:]//pp[.]yxzd7[.]shop/dhl/rd-dhl[.]php
https[:]//smartcardsupplier[.]com/css/adobe[.]php
https[:]//submit-form[.]com/JjCDLWrKJ

AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.

Tags:
Previous Post

Next Post