긴급 주문 엑셀파일로 위장된 기업 표적 피싱메일 주의!!

안녕하세요. ESRC(시큐리티 대응센터)입니다.

최근 기업 담당자의 계정을 노리는 피싱 메일들이 발견되고 있어 기업 담당자들의 주의가 필요합니다. 

이번에 발견된 메일은 “Urgent order”라는 제목으로 수신되었으며 긴급하게 주문을 넣었으니 첨부된 파일을 확인하라는 내용으로 사용자의 클릭을 유도하여 기업 담당자의 계정을 탈취하기 위한 목적으로 발송되었습니다.

[그림1] 특정 기업 담당자 계정 탈취를 위한 피싱 공격 이메일 화면

사용자가 긴급하게 들어온 주문을 확인하기 위해 첨부 된 파일을 다운로드하여 실행 할 경우 계정과 패스워드를 가로채기 위한 피싱 페이지가 브라우저로 연결됩니다.

 

[그림2] 브라우저로 동작 된 피싱 페이지 화면

사용자가 피싱 페이지에 기업 계정과 패스워드를 입력할 경우 모두 개인 정보 수집 사이트로 입력된 개인 정보가 전송됩니다.

개인 정보 항목이 모두 전달된 후에는 첨부 파일 실행 시 브라우저로 동작했던 페이지와 동일하게 제작된 사이트로 이동하여 실제 로그인 동작이 되는 것처럼 사용자를 속이게 됩니다.

[그림3] 사용자를 속이기 위한 추가 사이트 화면

전송된 개인 정보 항목과 도메인 정보를 상세히 살펴보면 다음과 같습니다.

개인 정보 피싱 및 수집 사이트 상세 정보

- 개인정보 수집 사이트

hxxps://gfr6566yvtt77.gb[.]net/poiuyh/excel/document.php

- 개인정보 전달 서버 IP

104.129.25.8

해당 기업 담당자를 노리는 피싱 메일이 9월 21일 2건 추가로 발견되었습니다.

추가된 첨부파일은 난독화 되어있었으며 개인 정보 수집 URL이 변경되었습니다. 

복호화 후의 첨부파일은 기존과 매우 유사한 구조를 가지고 있었습니다.

[그림4] 난독화 된 첨부파일 화면

추가 발견된 피싱메일과 괸 련 된 도메인 정보는 다음과 같습니다.

- 추가 발견된 개인 정보 수집 사이트

hxxps://uyiwdan[.]ga/osanle/next.php

- 추가 발견된 개인 정보 전달 서버 IP

104.168.136.235

최근 코로나19로 인해 재택근무를 하는 경우가 많아져 메일로 업무를 주고받는 경우가 빈번하기 때문에 기업 메일을 담당하는 담당자들은 항상 피싱메일과 악성메일에 대해 주의해야 하며, 의심되는 메일은 사내 보안 담당자에게 전달하여 피해가 확산되지 않도록 조치하는 것이 중요합니다.

또한 사내 보안팀에서도 피싱 메일 훈련 및 보안 교육을 활성화하고 임직원들의 보안 의식 함양을 높이기 위한 노력이 필요합니다.

현재 이스트시큐리티 ‘쓰렛 인사이드(Threat Inside)’에서는 해당 개인 정보 수집 사이트를 아래와 같이 탐지하고 있습니다.

[그림5] ESTSecurity-Threat Inside 개인정보 수집 사이트 탐지 화면