동일한 피싱 도메인 주소에서 다양한 대상을 타깃으로 피싱 공격 수행
[보안뉴스 원병철 기자] 메일을 이용한 피싱(Phishing) 공격이 기승을 부리는 가운데, 국내 대표 기업 메일인 네이버 웍스(NAVER WORKS), 메일플러그(MAILPLUG), 하이웍스(hiworks) 등을 노린 동일한 피싱 사이트 공격자들이 발견돼 주의가 요구된다.
▲정상 사이트로 위장한 페이지[자료=ASEC]
안랩 시큐리티대응센터(ASEC)는 최근 동일한 피싱 도메인 주소에서 다양한 대상을 타깃으로 피싱 공격을 수행한 것을 확인했다고 밝혔다. 이번에 발견된 공격은 네이버 웍스(NAVER WORKS), 메일 플러그(MAILPLUG), 하이웍스(hiworks), 천리안, 다음(daum) 사용자들을 공격 대상으로 하며, 하나의 도메인에서 해당 타깃에 대한 악성 피싱 스크립트들을 관리하고 있었다. 각각의 피싱 공격 사례들은 여러 채널을 통해 알려졌으나, ASEC는 이 공격들이 동일한 피싱 사이트로부터 수행된 동일 공격자(혹은 그룹)의 소행이라는 연관성을 포착했다고 밝혔다.
특히, 네이버 웍스(NAVER WORKS), 메일 플러그(MAILPLUG), 하이웍스(hiworks)는 각 기업에서 메일 서비스로 사용하는 경우가 많아 기업 타깃이 될 수 있기 때문에 각별한 주의가 필요하다.
▲최상위 도메인[자료=ASEC]
▲실제 피싱 스크립트들이 존재하는 wem 디렉토리[자료=ASEC]
hxxp://l**es***utys**on[.]com/***ut***lon/ 접속 시 확인되는 위 사이트는 정상적으로 사용되는 뷰티 관련 페이지인 것처럼 보이지만 사실상 운영되지 않고 있는 가짜 사이트이다. 내부의 피싱 스크립트와 함께 패키지로 제작됐을 것으로 보인다.
▲hxxp://l**es***utys**on[.]com/flavour/wem 하위 디렉토리 구조 및 설명[자료=ASEC]
최상위 도메인 hxxp://l**es***utys**on[.]com은 open directory 구조를 가지고 있다. flavour 디렉토리 하위에 피싱 코드들이 존재하며 해당 디렉토리를 제외한 나머지 디렉토리 및 파일들은 ‘정상 사이트’를 위장하기 위한 구성요소다. 다만 이것은 분석 시점의 디렉토리 구조이며, 공격자는 해당 디렉토리 명과 내부 파일을 주기적으로 수정하기 때문에 변경될 가능성이 있다.
▲정보유출 메일주소와 유사한 스트링으로 구성된 디렉토리명[자료=ASEC]
wem 디렉토리 하위에는 유출 정보를 수신하는 공격자의 메일 주소별 디렉토리가 구분되어 있다. 즉, 동일 디렉토리 내부의 피싱 스크립트는 모두 동일한 악성 메일 주소를 사용한다. 각 php 파일은 특정 대상자들을 공격 대상으로 하고 있으며, 몇 가지의 코드로 메일 주소와 공격 대상을 변경해 작성됐다. 각 디렉토리명은 도메인의 일부 스트링이 포함되도록 했는데, 공격자도 해당 코드들을 구분해 관리할 목적으로 이와 같이 분류했을 것으로 보인다.
△네이버 웍스(NAVER WORKS) 위장
업로드 된 파일 중에서 정상 사이트의 로그인 페이지를 위장해 사용자로부터 ID와 패스워드를 입력 받는 폼을 가진 파일은 네이버 웍스를 위장하고 있다.
▲네이버 웍스로 위장한 피싱 페이지[자료=ASEC]
정상적인 네이버 웍스 로그인 화면은 피싱 페이지와 달리 이메일만 입력하는 등 로그인 옵션에 차이가 존재한다. 악성 스크립트는 사용자의 IP, OS 정보, 접속 브라우저 정보 등을 수집하고 이후 ‘hxxp://www.geoplugin.net/json.gp?ip=[사용자 IP]’ 에 접속해 사용자의 국가, 지역, 도시 등의 정보도 추가적으로 수집한다. 수집한 정보는 “[국가 이름] || NavWork” 제목으로 [표1]에 명시된 공격자의 메일을 전송한다.
·메일 제목 : [국가 이름] || NavWork
·유출 내용 : 사용자의 IP, OS 정보, 접속 브라우저 정보
·파일 별 정보유출 메일주소는 ‘▲hxxp://l**es***utys**on[.]com/flavour/wem 하위 디렉토리 구조 및 설명’ 참고
△메일 플러그(MAILPLUG) 위장
메일 플러그 케이스의 피싱 메일은 견적의뢰/요청을 사칭해 유포 중이다. 피싱 메일의 경우 ‘철골제작 견적요청’, ‘견적의뢰 건 P/O FIBN’ 등의 제목으로 유포되는 것으로 보아 건설 회사를 대상으로 하고 있다. 또한, html 파일의 타이틀에 회사명이 작성되어 있어 메일 플러그를 사용하는 특정 회사의 사용자를 대상으로 유포되었음을 알 수 있다.
▲유포 피싱 메일[자료=ASEC]
▲메일 플러그 위장[자료=ASEC]
해당 페이지를 POST method를 통해 요청했을 때 클라이언트의 IP를 통해 ‘hxxp://www.geoplugin.net/json.gp?ip=[사용자 IP]’에 접속해 추가 정보를 수집한다. 사용자 이메일, 패스워드, User Agent, 현재 시간, Host Name 등 수집한 정보를 아래 형식에 맞게 작성해 ‘You’ve got mail from [사용자 IP] ([국가 이름])‘ 제목의 메일을 공격자 메일 주소로 전송한다.
·메일 제목 : “You’ve got mail from [사용자 IP] ([국가 이름])
·유출 내용 : 사용자 이메일, 패스워드, User Agent, 현재 시간, Host Name
·파일 별 정보유출 메일 주소는 ‘▲hxxp://l**es***utys**on[.]com/flavour/wem 하위 디렉토리 구조 및 설명’ 참고
△하이웍스(hiworks) 위장
하이웍스는 위장 스크립트 형태로 유포 중이며, 해당 스크립트를 메일에 첨부해 다수의 사용자에게 유포했을 것으로 보인다. 수집한 정보를 특정 메일 계정으로 전송하도록 구성되어 있으며 수집된 정보는 “You’ve got a HI_WORKS message from [사용자 ip]” 제목으로 공격자 메일 주소로 전송한다. 이후 정상 하이웍스 페이지인 ‘hxxps://www.hiworks.com/’로 리다이렉트되어 피해자는 피싱 스크립트임을 더욱 의심하기 어렵다.
▲하이웍스 위장 페이지[자료=ASEC]
·메일 제목 : You’ve got a HI_WORKS message from [사용자 ip]
·유출 내용 : 사용자 ID, 패스워드, IP, Host Name, User Agent, submit time
·파일별 정보유출 메일주소는 ‘▲hxxp://l**es***utys**on[.]com/flavour/wem 하위 디렉토리 구조 및 설명’ 참고
△천리안 위장
다른 피싱 파일들과 동일하게 사용자 이메일, 패스워드, IP, User Agent 등의 정보를 수집하여 ‘You’ve got a chol message from [사용자 ip]’ 제목으로 chriseuro512@gmail.com 에 전송한다.
·메일 제목 : You’ve got a chol message from [사용자 ip]
·유출 내용 : 사용자 이메일, 패스워드, IP, User Agent
△다음(daum) 위장
공격자는 동일 도메인 사이트 내의 공격 파일을 주기적으로 변경하며 관리한다. 분석 시점 당시 사이트 구조는 이미지 ‘▲hxxp://l**es***utys**on[.]com/flavour/wem 하위 디렉토리 구조 및 설명’과 같았으나, 다른 시점에서는 아래와 같이 다음을 대상으로 한 피싱 코드도 확보됐다.
▲다음 위장 페이지[자료=ASEC]
하이웍스와 동일한 대상을 유출 정보로 하며, 전송되는 메일 제목만 차이가 있다.
·메일 제목 : You’ve got a Daum message from [사용자 ip]
·유출 내용 : 사용자 이메일, 패스워드, IP, User Agent
·정보 전송 공격자 메일 : chriseuro512@gmail.com
해당 게시글에서 설명 된 위 사이트 외에도 이러한 구조로 관리되고 있는 다른 도메인들의 사이트가 존재한다. 이렇게 다양한 피싱 스크립트들을 포함해 특정 도메인으로 구성하여 공격에 사용하는 것으로 보인다.
안랩 ASEC 분석팀은 “각 메일 서비스가 다양한 기업에서 사용하는 경우도 많아 각별한 주의가 필요하며, 피싱 스크립트는 메일을 통해 유포되기 때문에 사용자들은 의심스러운 메일을 받게 된다면 첨부 파일의 실행을 지양해야 한다”고 강조했다. 또한 “V3를 최신 버전으로 업데이트해 악성코드의 감염을 사전에 차단할 수 있도록 신경써야 한다”고 조언했다.
[원병철 기자(boanone@boannews.com)]
[보안뉴스 원병철 기자] 메일을 이용한 피싱(Phishing) 공격이 기승을 부리는 가운데, 국내 대표 기업 메일인 네이버 웍스(NAVER WORKS), 메일플러그(MAILPLUG), 하이웍스(hiworks) 등을 노린 동일한 피싱 사이트 공격자들이 발견돼 주의가 요구된다.
▲정상 사이트로 위장한 페이지[자료=ASEC]
안랩 시큐리티대응센터(ASEC)는 최근 동일한 피싱 도메인 주소에서 다양한 대상을 타깃으로 피싱 공격을 수행한 것을 확인했다고 밝혔다. 이번에 발견된 공격은 네이버 웍스(NAVER WORKS), 메일 플러그(MAILPLUG), 하이웍스(hiworks), 천리안, 다음(daum) 사용자들을 공격 대상으로 하며, 하나의 도메인에서 해당 타깃에 대한 악성 피싱 스크립트들을 관리하고 있었다. 각각의 피싱 공격 사례들은 여러 채널을 통해 알려졌으나, ASEC는 이 공격들이 동일한 피싱 사이트로부터 수행된 동일 공격자(혹은 그룹)의 소행이라는 연관성을 포착했다고 밝혔다.
특히, 네이버 웍스(NAVER WORKS), 메일 플러그(MAILPLUG), 하이웍스(hiworks)는 각 기업에서 메일 서비스로 사용하는 경우가 많아 기업 타깃이 될 수 있기 때문에 각별한 주의가 필요하다.
▲최상위 도메인[자료=ASEC]
▲실제 피싱 스크립트들이 존재하는 wem 디렉토리[자료=ASEC]
hxxp://l**es***utys**on[.]com/***ut***lon/ 접속 시 확인되는 위 사이트는 정상적으로 사용되는 뷰티 관련 페이지인 것처럼 보이지만 사실상 운영되지 않고 있는 가짜 사이트이다. 내부의 피싱 스크립트와 함께 패키지로 제작됐을 것으로 보인다.
▲hxxp://l**es***utys**on[.]com/flavour/wem 하위 디렉토리 구조 및 설명[자료=ASEC]
최상위 도메인 hxxp://l**es***utys**on[.]com은 open directory 구조를 가지고 있다. flavour 디렉토리 하위에 피싱 코드들이 존재하며 해당 디렉토리를 제외한 나머지 디렉토리 및 파일들은 ‘정상 사이트’를 위장하기 위한 구성요소다. 다만 이것은 분석 시점의 디렉토리 구조이며, 공격자는 해당 디렉토리 명과 내부 파일을 주기적으로 수정하기 때문에 변경될 가능성이 있다.
▲정보유출 메일주소와 유사한 스트링으로 구성된 디렉토리명[자료=ASEC]
wem 디렉토리 하위에는 유출 정보를 수신하는 공격자의 메일 주소별 디렉토리가 구분되어 있다. 즉, 동일 디렉토리 내부의 피싱 스크립트는 모두 동일한 악성 메일 주소를 사용한다. 각 php 파일은 특정 대상자들을 공격 대상으로 하고 있으며, 몇 가지의 코드로 메일 주소와 공격 대상을 변경해 작성됐다. 각 디렉토리명은 도메인의 일부 스트링이 포함되도록 했는데, 공격자도 해당 코드들을 구분해 관리할 목적으로 이와 같이 분류했을 것으로 보인다.
△네이버 웍스(NAVER WORKS) 위장
업로드 된 파일 중에서 정상 사이트의 로그인 페이지를 위장해 사용자로부터 ID와 패스워드를 입력 받는 폼을 가진 파일은 네이버 웍스를 위장하고 있다.
▲네이버 웍스로 위장한 피싱 페이지[자료=ASEC]
정상적인 네이버 웍스 로그인 화면은 피싱 페이지와 달리 이메일만 입력하는 등 로그인 옵션에 차이가 존재한다. 악성 스크립트는 사용자의 IP, OS 정보, 접속 브라우저 정보 등을 수집하고 이후 ‘hxxp://www.geoplugin.net/json.gp?ip=[사용자 IP]’ 에 접속해 사용자의 국가, 지역, 도시 등의 정보도 추가적으로 수집한다. 수집한 정보는 “[국가 이름] || NavWork” 제목으로 [표1]에 명시된 공격자의 메일을 전송한다.
·메일 제목 : [국가 이름] || NavWork
·유출 내용 : 사용자의 IP, OS 정보, 접속 브라우저 정보
·파일 별 정보유출 메일주소는 ‘▲hxxp://l**es***utys**on[.]com/flavour/wem 하위 디렉토리 구조 및 설명’ 참고
△메일 플러그(MAILPLUG) 위장
메일 플러그 케이스의 피싱 메일은 견적의뢰/요청을 사칭해 유포 중이다. 피싱 메일의 경우 ‘철골제작 견적요청’, ‘견적의뢰 건 P/O FIBN’ 등의 제목으로 유포되는 것으로 보아 건설 회사를 대상으로 하고 있다. 또한, html 파일의 타이틀에 회사명이 작성되어 있어 메일 플러그를 사용하는 특정 회사의 사용자를 대상으로 유포되었음을 알 수 있다.
▲유포 피싱 메일[자료=ASEC]
▲메일 플러그 위장[자료=ASEC]
해당 페이지를 POST method를 통해 요청했을 때 클라이언트의 IP를 통해 ‘hxxp://www.geoplugin.net/json.gp?ip=[사용자 IP]’에 접속해 추가 정보를 수집한다. 사용자 이메일, 패스워드, User Agent, 현재 시간, Host Name 등 수집한 정보를 아래 형식에 맞게 작성해 ‘You’ve got mail from [사용자 IP] ([국가 이름])‘ 제목의 메일을 공격자 메일 주소로 전송한다.
·메일 제목 : “You’ve got mail from [사용자 IP] ([국가 이름])
·유출 내용 : 사용자 이메일, 패스워드, User Agent, 현재 시간, Host Name
·파일 별 정보유출 메일 주소는 ‘▲hxxp://l**es***utys**on[.]com/flavour/wem 하위 디렉토리 구조 및 설명’ 참고
△하이웍스(hiworks) 위장
하이웍스는 위장 스크립트 형태로 유포 중이며, 해당 스크립트를 메일에 첨부해 다수의 사용자에게 유포했을 것으로 보인다. 수집한 정보를 특정 메일 계정으로 전송하도록 구성되어 있으며 수집된 정보는 “You’ve got a HI_WORKS message from [사용자 ip]” 제목으로 공격자 메일 주소로 전송한다. 이후 정상 하이웍스 페이지인 ‘hxxps://www.hiworks.com/’로 리다이렉트되어 피해자는 피싱 스크립트임을 더욱 의심하기 어렵다.
▲하이웍스 위장 페이지[자료=ASEC]
·메일 제목 : You’ve got a HI_WORKS message from [사용자 ip]
·유출 내용 : 사용자 ID, 패스워드, IP, Host Name, User Agent, submit time
·파일별 정보유출 메일주소는 ‘▲hxxp://l**es***utys**on[.]com/flavour/wem 하위 디렉토리 구조 및 설명’ 참고
△천리안 위장
다른 피싱 파일들과 동일하게 사용자 이메일, 패스워드, IP, User Agent 등의 정보를 수집하여 ‘You’ve got a chol message from [사용자 ip]’ 제목으로 chriseuro512@gmail.com 에 전송한다.
·메일 제목 : You’ve got a chol message from [사용자 ip]
·유출 내용 : 사용자 이메일, 패스워드, IP, User Agent
△다음(daum) 위장
공격자는 동일 도메인 사이트 내의 공격 파일을 주기적으로 변경하며 관리한다. 분석 시점 당시 사이트 구조는 이미지 ‘▲hxxp://l**es***utys**on[.]com/flavour/wem 하위 디렉토리 구조 및 설명’과 같았으나, 다른 시점에서는 아래와 같이 다음을 대상으로 한 피싱 코드도 확보됐다.
▲다음 위장 페이지[자료=ASEC]
하이웍스와 동일한 대상을 유출 정보로 하며, 전송되는 메일 제목만 차이가 있다.
·메일 제목 : You’ve got a Daum message from [사용자 ip]
·유출 내용 : 사용자 이메일, 패스워드, IP, User Agent
·정보 전송 공격자 메일 : chriseuro512@gmail.com
해당 게시글에서 설명 된 위 사이트 외에도 이러한 구조로 관리되고 있는 다른 도메인들의 사이트가 존재한다. 이렇게 다양한 피싱 스크립트들을 포함해 특정 도메인으로 구성하여 공격에 사용하는 것으로 보인다.
안랩 ASEC 분석팀은 “각 메일 서비스가 다양한 기업에서 사용하는 경우도 많아 각별한 주의가 필요하며, 피싱 스크립트는 메일을 통해 유포되기 때문에 사용자들은 의심스러운 메일을 받게 된다면 첨부 파일의 실행을 지양해야 한다”고 강조했다. 또한 “V3를 최신 버전으로 업데이트해 악성코드의 감염을 사전에 차단할 수 있도록 신경써야 한다”고 조언했다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
