Wildcard DNS 기법을 악용한 급여명세서 위장 피싱 메일 주의

 

 

이스트시큐리티 대응센터(ESRC)에서 운영 중인 TDS(Threat Detection System) 이메일 모니터링 시스템에서 최근 급여명세서로 위장한 피싱 메일이 유포 중인 것으로 확인되었습니다.

해당 피싱 메일은 Wildcard DNS 기법을 활용하여 URL 차단을 교묘히 우회하는 것이 특징으로, 기존 보안 솔루션의 탐지를 어렵게 만드는 정교한 공격입니다.  

 

[그림 1] TDS 이메일 모니터링 시스템에서 탐지된 피싱 메일 화면

 

공격 개요

 

이번 피싱 메일은 '[Re]: Payroll Reports for week 2 ending, Sun, 19 Apr 2026 13:24:05 -0700' 라는 제목으로 유포되었으며, [Re]: 접두사를 붙여 마치 기존에 주고받은 대화의 답장인 것처럼 위장했습니다. 또한 수신자에게 '중요도가 높은 메시지'로 표시되도록 이메일 헤더를 조작하였으며 (Importance: high), 본문을 완전히 비워 첨부파일만 열도록 유도하는 전형적인 사회공학적 기법을 활용했습니다. 

 

[그림 2] 피싱 메일

 

공격 흐름

 

공격은 피싱 메일 수신부터 계정 탈취까지 크게 세 단계로 진행됩니다. 

 

1. 미끼 문서를 통한 HTML 파일 실행 유도  
피싱 메일에는 미끼 문서로 사용된 PDF 파일과 피싱 페이지로 접속하는 HTML 파일이 첨부되어 있습니다.  PDF 파일에는 급여명세서에 대한 안내문을 표시하여 HTML 파일 실행을 유도합니다. 

 

[그림 3] 미끼 문서로 사용된 PDF 파일 화면

 

2. HTML 피싱 파일 실행 → 피싱 페이지 로딩 
사용자가 급여명세서 파일로 오인하여 HTML 파일을 실행하면 Microsoft 스타일의 로딩 화면이 표시되며, 이와 동시에 백그라운드에서는 랜덤으로 생성된 C2 서버 URL을 통해 C2서버에 접속하여 피싱 페이지를 실시간으로 불러와 보여줍니다. 
피싱 페이지 자체가 HTML 파일 안에 담겨 있지 않고 실행 시점에 C2 서버에서 받아오는 구조이기 때문에, 파일을 사전에 스캔하는 보안 솔루션의 정적 탐지를 우회합니다. 

또한 이때 C2서버 접속은 HTML 파일 내부 스크립트가 Wildcard DNS를 악용하여 매번 다른 무작위 서브도메인 URL을 생성하여 접속함으로써, URL 기반 탐지를 우회할 수 있습니다. 

💡 참고하세요

Wildcard DNS란?  
DNS(Domain Name System)는 인터넷 주소를 실제 서버의 IP 주소로 변환해 주는 시스템입니다. 이 DNS에는 와일드카드(*) 레코드라는 기능이 있는데, 특정 도메인의 모든 서브도메인 요청에 동일하게 응답하도록 설정하는 것으로 원래는 수많은 서브도메인을 하나의 서버로 편리하게 운영하기 위한 정상적인 기능입니다. 

*.example.com → 192.0.2.10 (서버 IP)  
→ www[.]example[.]com 접속 시: 192.0.2.10 으로 연결  
→ mail[.]example[.]com 접속 시: 192.0.2.10 으로 연결 
→ 어떤 서브도메인이든 192.0.2.10 으로 연결 

 

공격자는 2개의 C2 서버 도메인을 운영하며, 두 도메인 모두 Wildcard DNS를 적용하여 어떤 서브도메인으로 접속해도 동일한 C2 서버로 향하며, 하나의 도메인이 차단되더라도 나머지 도메인으로 즉시 전환하여 공격을 이어갑니다. 

 

사용자가 HTML 파일을 실행할 때마다 다음과 같은 방식으로 서브도메인과 쿼리 문자열이 완전히 새롭게 생성되어 C2 서버로 연결됩니다.  

hxxps://[7자리 랜덤 서브도메인].[공격자 C2 도메인(2개 중 1개)]:8443/gygy?[랜덤 6자리]token[랜덤  5자리]ref=[수신자 이메일 주소]
예시)
hxxps://[pnrwedj].example.com:8443/gygy?[keyhfhxrv]token[m7ea3]ref=[email@email.com]

[그림 4] 피싱 URL 생성 코드

 

공격자의 C2 서버로부터 로딩된 피싱 페이지에는 Microsoft 로그인 팝업이 표시되며,  Microsoft 계정 입력 문구와 함께 이메일 주소가 자동으로 입력된 상태로 나타나, 사용자가 자연스럽게 비밀번호를 입력하도록 유도합니다.

 

[그림 5] 피싱 페이지

 

3. 계정 정보 입력 → 계정 탈취 
사용자가 팝업 로그인 창에 비밀번호를 입력하는 순간, 해당 자격증명이 공격자 서버로 전송되어 계정이 탈취됩니다. 

 

이번 공격은 급여명세서라는 친숙한 소재를 활용해 첨부파일 열람을 유도하였으며, Wildcard DNS Abuse 기법으로 보안 솔루션의 탐지까지 우회하는 정교한 피싱 공격입니다.  

 

피해를 예방하기 위해서는 급여/인사 관련 메일이더라도 발신자 메일주소를 반드시 확인하시고 출처가 불분명한 메일의 첨부파일을 실행하지 않도록 주의하시기 바랍니다. 만약 이미 자격증명을 입력하셨다면 즉시 비밀번호를 변경하고 모든 주요 계정의 세션을 전체 초기화(로그아웃) 하여 추가 피해를 차단하시기 바랍니다. 

 

 

IoC

Indicator	Type	Description	Detection Name
5174470167896163D65A89432E44561D	MD5	피싱 HTML 파일	Trojan.HTML.Phish
2EE9DFFEFD065DEC3511CE4F96110F34	MD5	피싱 HTML 파일	Trojan.HTML.Phish
C71764BD519B8B66A4DC20298144B733	MD5	피싱 HTML 파일	Trojan.HTML.Phish