주간 피싱 이메일 유포 사례 (2024/09/29~2024/10/05)

10월 11 2024

본 포스팅에서는 2024년 09월 29일부터 10월 05일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례 정보(이메일 제목, 첨부파일, URL)를 제공한다. 가짜 로그인 페이지 유형(FakePage)과 악성코드 유형(정보유출, 다운로더, 취약점, 백도어 등)을 구분하여 소개한다. 유포 사례에서 다루는 피싱 이메일은 첨부파일이 있는 이메일만을 대상으로 한다. 이메일 제목과 첨부파일 명에 등장하는 숫자는 일반적으로 고유 ID 값으로서, 이메일 수신자에 따라 다를 수 있다.

가짜 로그인 페이지(FakePage)

이메일 제목	첨부 파일명
Updated #771881281	SHIPMENT DOCUMENT.htm
[ 전자 영수증 ]: EIUDG-913352335 517526]	NTS_eTaxInvoice.html
[FedEx] 페덱스 수입세금계산서 – 419975.Pdf:dhkim	FedEx-AiryWaydhkim_Shipment_aptech.biz.shtml
【Electronic Invoice】You received a new electronic invoice [Invoice Number: 0092727] SOA As Of Tuesday, October 1, 2024	SOA_2024104001195002SR-IN-20241001.html
A direct message is in your inbox waiting	getbBpGt.pdf
A new message has just been sent to you	rPyPpnTT.pdf
Account status report from our system	dczEUSrC.pdf
Balance account report for today	GAnrbxcE.pdf
DHL Express Shipment Document/Tracking	inv_package_document.shtml
DHL 귀하의 패키지가 당사 스테이션 중 한 곳에서 보류 중입니다	PO-#0094321.html
Document invoice due	Fedex – invoice_.htm
Fedex – shipping notification with payment confirmation – 8947968355	Fedex – invoice_.htm
Fedex 결제 확인이 포함된 페덱스 배송 알림	Track shipment_AWB – 958764556384865iyfgkkfcmcmvkfedex.html
Financial account status in our system	JWuTAsUW.pdf
********.com Mailbox service warning-1045962-XXXXX424-1459641	*********.com Mail Service verification Form for sales904596.shtml
Payment Advice – Advice Ref:[A2bIgNOXyFkt] / ACH credits / Customer Ref:[PAY NON TRADE CREDITOR] / Second Party Ref:[189163-D] / Second Party ID:[P005]	AdviceHS.htm
Payment sent on 28/08/2024 13:24 .	(Payment Advice.PDF).htm
Re (Account Statement Updated) Amazon: Your Account Will Be Updated #6627728	Prime Amazon #6627728.pdf
RE: [EXTERNAL] RFQ: PO-#0094321	PO-#0094321.html
Re: App Purchase Receipt – Your App Purchase Will Be Processed #MN418983214	Last Battleground #MN418983214.pdf
Re: New Order	attachments.zip
Re: Your Account Update Information – Your Amazon Account Will Be	Information Account #771881281.pdf
Rechnung RE-019938929	RE-019938929.html
SOA As Of Tuesday, October 1, 2024	SOA_2024104001132616SR-IN-20241001.html
Statement of today’s financial summary	jbjgRYZS.pdf
Today’s balance account statement	qRNAhwOc.pdf
Today’s report on your balance	hgfmGFax.pdf
wenger berlin re_zeptfrei Pharma	5ec48630-8717-11ef-815d-44a842253044.html
Your balance is nearing cancellation.	djvTOpXN.pdf
Your balance status hasn’t been verified in a long time.	KWwHypwU.pdf
Your balance will soon become invalid.	LvwisqEMxlq.pdf
回复：Purchase Order: 100534-PO#2500006039	Purchase order-100534#.html

악성코드(Infostealer, Downloader 등)

이메일 제목	첨부 파일명
Quote required	SYSN ORDER.xls
Shipment Arrival Notice-AWB Shipping / Commercial Invoice / Bill of lading	Awb_Tracking_App_original_invoice_bl_packinglist_shipment_29_09_2024_00000000000000000000.7z
Order	PO 11001 .xls
Request for Invoice Number	Request for Invoice Number.gz
REQUEST FOR QUOTE-INQUIRY#87278	REQUEST FOR QUOTE2-INQUIRY#87278_Zhejiang JiuliOCT24.7z
Tender PR-1220000697	Tender PR-1220000697.gz
FW:FW: URGENT!!! U759/U760 Cancellation	ORDER_U769.7z
Re:Price Confirmation	MAIN ORDER.7z
Hesap hareketleriniz	Hesaphar.7z
New Order	Order001.zip
Original Shipment Document	DHL_AWB#.z
PURCHASE ORDER NO : 223 (AP INK)	PO_NO_22.zip
Quotation Request For New Order	NEWORDER.r11
Re: AUG statement USD 59612.00	AUGUSTST.zip
RE: Payment-Third Party Client Wire Order_PO398506 (QRN-260420221934)	Bankdeta.7Z
RE: Purchases Order // PO-000001407	PO-00000.rar
RE: Purchases Order	PO231000.rar
RE: RE: HBL# 65T0055903 BKG# 91538949*Booking for 120DC from HPH to Atlanta/ CRD	65T00559.zip
RE: RE: OVERDUE ACCOUNT – SEPTEMBER 2024	Remittan.rar
Re: Ref: Payment Advice081 // Customer Ref:23486903	PaymentA.rar
RE: SHIPPING DOCUMENT //URGENT//	PAYMENTR.rar
RE: SOA	STATEMEN.gz
RE: SOA TS234 – June’24	Transact.rar
Requesting for Quotation	Enquiry_.gz
SHIPPING DOCUMENTS	SHIPPING.zip
SOA SEPTEMBER 2024	SOASEPT2.zip
URGENT REURIMENT PO-538 , RD POWDER FOR ALWAR PLANT	PO-538.zip

하기 IoC상 MD5는 이메일에 첨부된 피싱 페이지 및 악성코드의 MD5 해쉬이며, URL은 피싱 페이지를 통해 사용자 계정 정보가 유출되는 C2 정보이다.

MD5

003c4400af10aa2585980265c8cc2a38

01464568d1de3c6780bb55a27cd21a8a

1041b5f3989a4883a7b505a2ada23c4c

1064797eb1c6b922fc32c71e2d14f865

10f3322d9da5aa21322d75e91b846378

URL

https[:]//faithjconnor[.]com/adobe[.]php

https[:]//nocodeform[.]io/f/66f40255fadc01bef7052ac0

https[:]//only-solutions-it[.]com/pdfc/eng/fire[.]php

https[:]//submit-form[.]com/GAPidPpmw

https[:]//submit-form[.]com/P6UODI9fN

AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.

주간 피싱 이메일 유포 사례 (2024/09/29~2024/10/05)

AhnLab EDR을 활용한 BPFDoor 리눅스 악성코드 탐지

국내 대형 연예 기획사를 사칭한 피싱 이메일 주의

Tags:

AhnLab EDR을 활용한 BPFDoor 리눅스 악성코드 탐지

국내 대형 연예 기획사를 사칭한 피싱 이메일 주의