jwmsg

중소기업을 대상 으로 하는 피싱메일 분석 [1]

Hacking, Security

사건의 발단 <최초의 메일>

<사건의 원인>

나한테 견적서가 올 이유가 없다. 난 영업이나 견적을 담당하는 사람이 아니다.
심지어 견적서가 스팸함에 들어있었고,
첨부파일이 분명 없는 메일인데 첨부파일 항목이 있어서 확인해보니
첨부파일이 아니라 “이미지” 를 첨부파일처럼 속여 놓았다.
저 이미지를 누르면 어떤 사이트가 뜬다.

hxxps://swift-iron-purring[.]on-fleek[.]app/vhcvwdcywdhscfgxvscxdfserxdfdszaewsrdtfytewdvwdecftwycvhwecfewyvhjhvwgcftyewvhgwe.html
<가짜 Works 로그인 창>

놀랍도록 똑같이 생겼다.
“당연히” 여기에 실제 아이디와 비밀번호를 입력하면 털린다.
해당 정보를 수집해서 뭘 하는지는 후속 편에서 다뤄보도록 한다.

<실제 Works 로그인 창>

보안 전문가들도 이정도로 똑같으면 속아서 로그인 할 수 도 있다.

이 사이트에 로그인을 하면, 다음 과 같은 방법으로 데이터를 보낸다.

<데이터를 전송하는 로직>

여기서,
aHR0cHM6Ly9wYXJrbGFuZHVzYS5jby9nZWlkYW0veGVuZC5waHA=
의 경우, 복호화 하면 다음과 같다.

hxxps://parklandusa[.]co/geidam/xend.php

약간 소름 돋는 부분도 있다.

두번이상 시도하면 로그인 되는것처럼 보이게 하기

로그인을 시도해서 2회 시도하고나면 실제 웍스모바일 로그인 창으로 넘어가게 해서 로그인이 된것 처럼 꾸미는 것이다.

(그 이하는 틀렸다고 일부러 표시하여 재 검증 하는 듯 하다)

이렇게 하면, “로그인 된 상태로 메일을 열었으니 당연히 로그인 된 상태로 네이버 웍스의 메인화면이 뜬다”

피싱 사이트에 대해 더 자세히 알아보기

hxxps://swift-iron-purring[.]on-fleek[.]app/vhcvwdcywdhscfgxvscxdfserxdfdszaewsrdtfytewdvwdecftwycvhwecfewyvhjhvwgcftyewvhgwe.html

위에서 언급한 해당 사이트를 보면 이상하다. 이름이 너무 길다. 저거 어디선가 본거 같아서 index 페이지를 보려고 path 만 남기고 다 지워보니..

hxxps://swift-iron-purring[.]on-fleek[.]app/
IPFS ?????

IPFS 가 뜬다. 이게 뭔지 좀 알아보니.

블록체인에 파일을 저장해서 분산화 하는 파일시스템 이라고 한다.

P2P 방식으로 파일을 공유하는 서비스 인데, 이를 이용하여 웹 호스팅을 해주는 서비스가 Fleek 이라는 서비스 같다.

fleek.co

사실 이 사이트는 V3 에서 악성 사이트로 뜬다… 만 일단 허용하고 들어와 봤다.

IPFS 특성상 얘는 중앙 서버가 없다. 단지 Fleek 같은 서비스가 도메인 기반으로 해당 파일을 웹으로 보여주는 서비스 인것으로 파악 된다.

해당서비스는 웹 프론트만 띄워두었고, API 는 별도로 만들어 둔것 같은데 API 서비스를 조금더 파악해 보자면

hxxps://parklandusa[.]co/

들어가보니 디렉터리 리스팅이 된다,..

물론 실제 전송 api 위치는 /geidam/xend.php 이지만,

눈여겨 볼 위치는 /cgibn/ 아래에 있는 항목들이다.

hiworks 라는 이름도 보이고, 일부 xend(네이버웍스용인듯) 등이 보임

/cgibn/hiworks.php 는 하이웍스 오피스 유저를 상대로,

/cgibn/thanks.php 는 (실제 접속하면 이동함) 이카운트 메일 유저를 상대로

/cgibn/xend.php 는 (아까와 동일) 네이버 웍스 유저를 상대로

피싱을 시도하는 정황이 확인된다.

자, 일단 정리를 하자면

누구인지, 어떤 애들인지는 모르겠지만,
국내 중소기업들이 자주 사용하는 오피스 프로그램 또는 메일 시스템 사용자들을
상대로 굉장히 기획적이고 치밀하게“피싱 메일” 범죄를 수행하고 있다.

심지어 P2P 분산 파일 시스템을 활용하고, 익명의 API 서버를 활용하여 정보를 수집하는 등의 행위를 통해 중소기업 이메일 계정들을 탈취하고 있는 정황이 크게 나타난다.

우리나라 산업구조상, 대기업과 파트너쉽을 맺고 있는 중소기업들이 상당히 많고, 중소기업들은 대기업과의 거래를 통해 성장하는 경우가 많으며 거래처의 이메일을 신뢰하는 경우가 많은데, 만약 중소기업의 메일을 활용하여 악성코드 또는 렌섬웨어의 유포가 발생한다면 대기업은 속수무책으로 당할 수 있다.

다음 포스트에서는,

  • “스팸메일로 분류가 안된 상태로 온 피싱메일”
  • “아이디와 암호를 활용하여 뭘 시도하는지”
  • “해결할 방법은 없는지”

에 대해 알아보도록 한다.