분석 정보/악성코드 분석 정보

[주의]포털사 계정중지 내용으로 사칭한 스피어피싱 공격

TACHYON & ISARC 2014. 2. 18. 09:43
1. 포털사 이메일 계정중지로 개인정보 수집형 공격

2014년 02월 17일 마치 국내 유명 포털사이트의 이메일 공지내용처럼 사칭한 스피어피싱 표적공격이 발견되었다. 기존의 스피어시핑 수법과는 다르게 악성파일을 첨부하는 형태가 아니라 이메일 본문에 가짜 피싱사이트 주소를 연결하여 수신자로 하여금 비밀번호를 입력하도록 유도한 방법이다.

특히, 수신자가 대한민국 정부기관에 소속되어 있는 인물로 공격자는 정부기관에 근무하는 중요정보를 탈취하기 위한 목적으로 이번 공격을 감행한 것으로 추정된다.

[주의]HWP 취약점을 이용한 북한의 사이버 침투활동 증가
☞ http://erteam.nprotect.com/463

[주의]우주항공기술과 세계평화공원 학술회의 내용의 HWP 표적공격

☞ http://erteam.nprotect.com/458

[주의]정보보안예산 워드문서로 위장한 표적공격용 악성파일

☞ http://erteam.nprotect.com/453

[주의]한글 이력서 문서파일로 위장한 표적형 공격 발견
☞ http://erteam.nprotect.com/451


[주의]HWP 악성파일 유포조직 1년 넘게 활동 중인 실체 확인
☞ http://erteam.nprotect.com/447

[주의]외교정책 내용으로 사칭한 악성 HWP 문서파일 발견
☞ http://erteam.nprotect.com/443

[주의]표적공격 유발자 HWP 악성파일 지속 출현 
☞ 
http://erteam.nprotect.com/440

통일연구 및 무역관련 기관을 겨냥한 표적공격 다수 발견
☞ 
http://erteam.nprotect.com/433

새로운 HWP Zero-Day 취약점 악성파일 등장 (표적공격)
☞ 
http://erteam.nprotect.com/360

HWP 문서취약점을 이용한 표적형 악성파일 급증
☞ 
http://erteam.nprotect.com/358

국방 관련 문서파일로 위장한 한글 취약점 악성파일 발견 주의!
☞ 
http://erteam.nprotect.com/357

HWP 문서 0-Day 취약점 이용한 APT 공격발생
☞ 
http://erteam.nprotect.com/297

탈북인 인적사항으로 유혹하는 HWP 악성파일 등장
☞ 
http://erteam.nprotect.com/292

한국정보보호학회 HWP 논문 투고 규정 탈을 쓴 APT 공격
☞ 
http://erteam.nprotect.com/284

악성 HWP 문서파일 호기심 자극으로 당신을 노린다.
☞ 
http://erteam.nprotect.com/272

2. 악성 첨부파일이 아닌 가짜 피싱사이트를 이용한 지능적 공격

금번 공격에 사용된 수법은 아래와 같이, 포털사의 비밀번호 변경 공지처럼 위장한 교묘한 방식을 이용했다. 더불어 실제 이메일 서비스의 디자인을 도용하여 마치 실제 포털사에서 발송한 것처럼 꾸며져 있다.

보낸 사람 :
NAVER <naver.account@mail.com>

날짜 :
2014년 02월 17일 월요일 오후 3:03

받는 사람 :
***339@naver.com

제목 : 
[시스템 공고] 고객님 계정는 중지될 것입니다.

내용 :
고객님,안녕하세요?


Naver비밀번호를  오랫동안  변경하지 않았습니다. [사용자 컴퓨터 비밀번호정책 수정안] 따르면 일반 사용자는 최소 3개월씩 비밀번호를 바꿔야 합니다.


2014 년 02 월 19 일까지, 즉시 아래의 ‘Naver 비밀번호 변경’를 통해 계정정보를 보호하세요.


마감기일 비밀번호를 변경하지 않으면 계정은 사용중지될 것입니다. 사용 불편을 초래하지 않도록 비밀번호를 빨리 바꾸시십오.


Naver고객센터 


이메일 내용 중에는 표현상 부자연스럽거나 오타가 존재한다. 제목에는 "계정은 대신에 계정는" 이라는 표현이 있고, 본문에는 "바꾸십시오 대신에 바꾸시십오." 라는 잘못된 문구가 존재한다.


표적이 된 수신자가 해당 이메일에 속아 ['Naver 비밀번호 변경'] 부분을 클릭하면 가짜 피싱 사이트가 새롭게 열리게 된다. 이 사이트는 실제 포털사이트의 디자인처럼 교묘하게 위장되어 있고, 이용자의 비밀번호 입력을 유도하게 된다.

피싱 사이트의 웹 사이트 화면을 보면 [로그인 비밀번호 변경]이라는 타이틀과 함께 아이디(이메일)와 비밀번호를 입력하게 유혹하고 있다.


수신자가 조작된 화면에 아이디와 암호 등을 입력한 후 [확인]을 누르게 되면 해당 정보들이 해외의 특정 사이트로 전송된다. 그리고 공격자는 실제 변경된 비밀번호를 실제 포털사에 적용하여 이용자가 변경한 암호로 작동될 수 있도록 한 후 지속적인 정보감시 및 탈취를 수행할 수 있게 된다.


3. 마무리

중요 기관 및 기업 등을 노린 표적공격이 끊임없이 발생하고 있다. 수신함에 도착한 메일이 평상시와 다르거나 생소한 내용이 있을 경우에는 발신자와 첨부파일, 링크주소 등을 주의깊게 살펴보는 노력이 필요하다.

공격자는 지인처럼 사칭하거나 공식적인 이메일처럼 위장하는 경우가 많지만 꼼꼼하게 살펴보면 어눌한 표현이 있는 경우가 많다. 특히, 첨부파일에 문서파일의 취약점이나 실행파일을 포함해서 유포하는 경우도 많으니, 항상 최신 보안업데이트를 설치하고, 신뢰할 수 있는 유명 보안제품으로 검사하고 사용하는 습관이 중요하다.