기업용 협업툴 네이버웍스 계정탈취를 목적으로 진행되는 해킹공격 주의!

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

 

최근 기업용 협업툴인 네이버웍스의 계정을 탈취하는 목적으로 하는 다수의 해킹 공격이 발견되어 기업 사용자 여러분들의 각별한 주의가 요구됩니다. 

이번에 발견된 공격은 피싱메일을 통해 진행되며, 일반적인 견적서 메일을 위장하고 있으며, 견적서 확인요청 내용과 함께 html 파일이 첨부되어 있습니다. 

 

 

[그림 1] 견적서 위장 피싱 메일

 

 

첨부되어 있는 html 파일을 실행하면 피싱 페이지가 뜨는데, 해당 페이지는 실제 네이버웍스 로그인페이지와 동일하게 제작되어 있습니다. 단, 영문으로 보여주기 때문에 눈치가 빠른 사용자의 경우 이상한 점을 느낄 수 있습니다.

 

 

[그림 2] 네이버웍스 피싱 페이지(좌)와 실제 페이지(우) 비교

 

 

사용자가 아이디를 입력하고 start 버튼을 누르면 비밀번호 입력란이 있는 페이지로 이동되며 사용자의 비밀번호 입력을 유도합니다. 

 

사용자가 비밀번호를 입력하면, 입력한 계정정보는 공격자 서버로 전송됨과 동시에  정상 네이버웍스 로그인 페이지로 리디렉션 되며 공격이 종료됩니다. 

 

 

[그림 3] 비밀번호 입력 유도 페이지

 

[그림 4] 공격자 서버로 전송되는 계정정보

 

 

견적서를 위장한 메일 뿐만 아니라, 계정 비활성화 알림을 위장한 피싱 메일도 유포 중이며, 디자인과 방식을 보았을 때 지금도 지속적으로 다양한 주제를 위장하여 유포중인 네이버 계정탈취를 시도하는 피싱 메일과 매우 유사합니다. 

 

 

[그림 5] 네이버웍스 이메일 계정 비활성화 알림 메일을 위장한 피싱 메일

 

 

이러한 공격의 목적은 개인 계정 탈취가 아닌 기업용 협업툴 계정 탈취이며, 만일 기업용 협업툴 계정이 유출되면 유출된 계정정보를 이용하여 기업 게시판에 접속하여 악성링크나 파일을 다른 동료에게 전송하는 등 추가적인 악성행위가 가능하여 2차 피해가 예상됩니다. 

 

기업 사용자 여러분들은 반드시 회사 계정관리에 주의를 기울이셔야 하며, 기업 보안담당자들은 주기적인 보안교육을 통하여 임직원 여러분들의 보안의식을 향상시켜야 하겠습니다. 

 

 

IoC

hxxps://erikerikson.edu[.]uy/emi/mxx/smite.php