주간 피싱 이메일 유포 사례 (2024/10/20~2024/10/26)
본 포스팅에서는 2024년 10월 20일부터 10월 26일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례 정보(이메일 제목, 첨부파일, URL)를 제공한다. 가짜 로그인 페이지 유형(FakePage)과 악성코드 유형(정보유출, 다운로더, 취약점, 백도어 등)을 구분하여 소개한다. 유포 사례에서 다루는 피싱 이메일은 첨부파일이 있는 이메일만을 대상으로 한다. 이메일 제목과 첨부파일 명에 등장하는 숫자는 일반적으로 고유 ID 값으로서, 이메일 수신자에 따라 다를 수 있다.
가짜 로그인 페이지(FakePage)
| 이메일 제목 | 첨부 파일명 |
| 귀하의 패키지가 우리 사무실에 도착했습니다 | SHIPPINGDOCUMENT.shtml |
| 배송 상태: 새 청구서 첨부 | FedEx Pacakge Invoice Delivery.html |
| 새로운 PO | _AWB#310479442.htm |
| **건축사사무소 ((주)*****->**건축사사무소)새창으로 읽기 | NTS_eTaxInvoice.html |
| 운송 문서 !! | Shipping Documents (G4RVC).HTML |
| 전자세금계산서/한국**** 운영 서비스 제공자->회계법인***) 새창에서 읽기 | NTS_eTaxInvoice.html |
| 포장 목록 및 청구서 선적 | FedEx Shipment.shtml |
| (주) ******금속 (** ****->(주) ****금속) | NTS_eTaxInvoice.html |
| 【전자 영수증】받은 새 전자 영수증[영수증 번호: 88897075434806572392] | sales_eTaxInvoice.html |
| 【전자 영수증】받은 새 전자 영수증[영수증 번호: 88897075434806572392] 【********@*******.co.kr】 | *******_eTaxInvoice.html |
| AWB – Information is required. | FedEx Shipping Document_pdf.html |
| DHL Your parcel has arrived urgent pick up needed | AWB#905506.html |
| DHL 미수금 납부 촉구서 – 1301464542 | DHL ___ __ ___ – 1301464542.html |
| DHL 화물 도착 알림 | awb_packing list.html |
| Document Submission for Shipment/Delivery – [Tracking Number/Reference197860 | Invoice-947979259-XXXXX5000-239800.html |
| Estimado Cliente Cfecontigo Urgent: *******.****@***.com 12:18 7821973 | ******.****@***.com .pdf |
| Fedex ✈: 새 청구서 첨부 | AWB.html |
| FedEx Express AWB#******032750 – Information is required. | FedEx Shipping Document.shtml |
| FedEx Invoice-108479522-XXXXX4624-240824160023641 | Inv-Package-Document.html |
| Important: Caller left (1) New VM MSG 00:54 DURATION – h0Y74tRCEGxb | Support_SKM_C590368369060_417161.pdf.pdf |
| NEW-ORDER-PO#0010CA2230.xls | P.O#9479403800.html |
| Password Recovery Update on Cpanel | Purchase Inquiry_NBI-2200176 .pdf |
| Payment Advice – Ref:[209TRAPA00158007] | Payment_Advice_MT_103.pdf.html |
| Payment Advice – Ref:[209TRAPA00158007] | Scan_copy_T10r445.pdf.html |
| Payment Notification for *****@*********.co.kr | Recpt_File_PDF.shtml |
| PO#R5F21336CNFP—-qty=3000 stk | AWB_Shipping_DOCS.shtml |
| POP FOR OCTOBER INVOICES | POP.html |
| Purchase Order Confirmation: New Order #5977336 #98727 | Order & Specification.html |
| Re: New PO-6090018128 | PO-6090018128_pdf.htm |
| RE: PO PO/1024/00133 | PO.html |
| RE: PO//Stock Pipe:RFQ 110123(MECH)NBI/OCT 20-24 | Purchase Inquiry_NBI-2200123 .pdf.html |
| RE: PO//Stock Pipe:RFQ 110123(MECH)NBI/OCT 20-24 | Revised Proforma Invoice .pdf.html |
| Re: Re: PURCHASE_ORDER-Dongguan Bornsun Composite Materials co.,Ltd | PURCHASE_ORDER FILE EXCEL FILE .htm |
| Re:New Inquiry RFQ PO#278823 | New Inquiry RFQ PO#278823.html |
| Re:回复:采购订单: Requisition for quotation – 10/21/2024 | Quote89127-xls.html |
| Re; Quotation Samples List, | Sample Order – Copy.html |
| Request For Quote | PO_573819328228.html |
| URGENT: FedEx AWB# Custom clearance | AWB customs shipment clearance.html |
악성코드(Infostealer, Downloader 등)
| 이메일 제목 | 첨부 파일명 |
| (주)***테크 발주서 송부 – (주)*****(10/24) | ** Order.rar |
| [DHL KOREA] 청구서 안내 : ICNIR00382743 for account : 966881813 – 화물도착안내-₩ 53230.00 | 5702771896_AWB_20240902_225_20240902.rar |
| NEW ORDER P24002603 > modified OC 21114020 > shipment 211014093 | new shipment list.rar |
| Bestellung | Bestellung.iso |
| BT-036016002U #RFQ 014-010-02024 // FOR Bita Industrial Supply | BT-036016002U_RFQ _014-010-02024.pdf |
| Disponibilidad del certificado FNMT-RCM | Certificado_ FNMT-RCM.iso |
| Factura | Factura.rar |
| Factura 5010FR10123177 a fecha 16/10/2024. | 5010FR10123177.iso |
| Fw: USD payment MT103- SWIFT Copy against BL Invoice-shipping (order No. ) | *******@****.com12990300034885933599_MT103_swift-copy.pdf.html |
| NEW ORDER | PO#2024003001.shtml |
| Pay Raise | Salary Revision_pdf.rar |
| PO Details and Invoice Request | ~RFQ~.html |
| PURCHASE ORDER(PS24P413) FOR RHEON (KN550 #887) SPARE PARTS | POS24P413.rar |
| RE: korea Buy order | rfq_last_quater_product_purchase_order_import_list_10_21_2024_000000211024.7z |
| Re: New Group | Ref_0250_112.7z |
| RE: Quotation – QU101384 (1).pdf | Doc202410210928773355.pdf.zip |
| Re: wedding Booking and tours | Ref#1120376.7z |
| Request for quotation and product information | PDG8838EHU0309-XYSUJ288399-PQSHXII399.gz |
| Ricevuta di pagamento | Ricevuta_di_pagamento.7z |
| RV: Comprobante de pago | Comprobante de pago 00256.xxe |
| Salary Increase | Salary Revision_pdf.rar |
| SATORP AMIRAL Project 2 Saudi Arabia Support / BID Request – Quotation | BID Request – SATORP AMIRAL Project 2 Saudi Arabia_10-22-2024.xls |
| Statement of Account for Your Reference | S24101212230.rar |
| Upward Salary Revision | Salary Revision_pdf.rar |
| Zamówienia | SKM_C16024100408500.iso |
하기 IoC상 MD5는 이메일에 첨부된 피싱 페이지 및 악성코드의 MD5 해쉬이며, URL은 피싱 페이지를 통해 사용자 계정 정보가 유출되는 C2 정보이다.
00103ba5c9bc431cb3eaece35156b57a
0064543cff4ecf900994e9d1cb5d41cb
06a5a7ccf170f940be3bd43daa31a31e
06dc131bb6142cc9c6a74929b495f73a
0751260d4186efd5ce4fd5f114a00e66
https[:]//electricmotor[.]my/eir/PDFNEW[.]php
https[:]//getra[.]lt/destiny/destiny42/index[.]php
https[:]//jmttdl[.]com/bi/cn[.]php
https[:]//natureduca[.]com/images_inv/p/excelaccess[.]php
https[:]//nocodeform[.]io/f/65b0ae687689f1d6d7f16b20
AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.
