악성코드 분석 리포트

국정원을 사칭하여 유포중인 이메일 주의!

알약4 2024. 5. 27. 13:21

 

 

안녕하세요이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

지난달 국정원을 사칭한 피싱 메일이 발견되어 국정원 공지사항을 통해 안내가 되었으나 해당  피싱 메일이 지속적으로 유포되고 있는 것으로 확인되어 주의가 필요합니다. 

 

 

[그림 1] 국정원 공지내용

 

 

해당 피싱 메일은 여전히 경찰보고서라는 제목으로 발신자명을 국가정보원으로 위장하여 발송되었으며, ‘국가정보원(한국).pdf’ 파일이 첨부되어 있습니다.

 

 

[그림 2] 국정원 사칭 피싱 메일

 

 

 

해당 피싱 메일에는 첨부된 경찰보고서를 읽어보고 즉시 회신해달라는 내용으로 첨부파일 확인을 유도하며, 첨부된 pdf파일에는 사이버범죄 수사보고서라는 제목으로 사이버범죄에 기소되어 답변이 필요하며 불응 시 체포될 예정이라는 내용으로 메일 수신자에게 위협을 주고 있습니다.

 

 

[그림 3] '국가정보원(한국).pdf' 파일

 

 

최근 유포된 메일도 최초 발견된 메일과 동일한 내용이며, 첨부파일 해시값 확인 결과 동일한 파일로 확인되었습니다.

또한 첨부파일 분석결과 경찰 보고서를 사칭한 부분 외에 다른 악성행위는 없는 것으로 확인되었습니다.

 

하지만 지난달 국정원 공지를 통해 피싱 메일임이 밝혀졌음에도 계속 유포되고 있는 상황과 메일 회신을 유도하는 점으로 보아 메일 수신자의 반응을 살펴 이후 공격을 진행하기 위한 사전 작업으로 발송하는 경우일 수 있어 주의가 필요합니다.

 

또한 ESRC에서는 해당 첨부파일이 언제든지 악성행위가 추가된 악성파일로 교체되어 유포될 가능성이 있어 지속적인 모니터링을 진행하고 있습니다.

 

현재 알약에서는 해당 첨부파일에 대해 Trojan.PDF.Phish 탐지명으로 탐지하고 있습니다.

 

 

IoC

091fe9672d6e63af8aad2002bdb7ed28