유명 메일 서비스들을 사칭한 피싱 공격 주의!

ASEC은 동일한 피싱 도메인 주소에서 다양한 대상을 타겟으로 피싱 공격이 감행된 것을 확인했다. 공격 대상은 네이버 웍스(NAVER WORKS), 메일 플러그(MAILPLUG), 하이웍스(hiworks), 천리안, 다음(daum) 사용자들이며, 하나의 도메인에서 해당 타겟에 대한 악성 피싱 스크립트들이 관리되고 있는 것을 발견했다.

이번 글에서 다룰 각각의 피싱 공격 사례들은 타사 블로그나, 보안 관련 기사를 통해 다수 알려졌다. ASEC은 여기서 나아가 이 공격들이 동일한 피싱 사이트로부터 수행된 동일 공격자(혹은 그룹)의 소행이라는 ‘연관성’을 발견한 것이다.

특히 네이버 웍스(NAVER WORKS), 메일 플러그(MAILPLUG), 하이웍스(hiworks)는 여러 기업에서 메일 서비스로 사용하는 경우가 많아 각별한 주의가 필요하다.

[그림 1]의 피싱 사이트 주소는 hxxp://l**es***utys**on[.]com/***ut***lon/ 이다. 정상적인 뷰티 관련 페이지인 것처럼 보이지만 사실상 운영되지 않고 있는 가짜 사이트이다. 내부의 피싱 스크립트와 함께 패키지로 제작되었을 것으로 보인다.

 [그림 1] 정상 사이트로 위장한 피싱 페이지

최상위 도메인 hxxp://l**es***utys**on[.]com은 오픈 디렉토리(open directory) 구조를 갖는다. flavour 디렉토리 하위에 피싱 코드들이 존재하며 해당 디렉토리를 제외한 나머지 디렉토리 및 파일들은 위 [그림 1]처럼 정상 사이트를 위장하기 위한 구성 요소이다. 

*디렉토리 구조는 분석 시점 기준이며 공격자는 해당 디렉토리명과 내부 파일을 주기적으로 수정한다.

 [그림 2] 최상위 도메인

 [그림 3] 실제 피싱 스크립트들이 존재하는 wem 디렉토리

 

[표 1] 디렉토리 구조 및 설명

위 [표 1]과 같이 wem 디렉토리 하위에는 유출 정보를 수신하는 공격자의 메일 주소별 디렉토리가 구분되어 있다. 즉 동일 디렉토리 내부의 피싱 스크립트는 모두 동일한 악성 메일 주소를 사용하는 것이다. 각 php 파일은 공격 대상을 특정하고 있으며, 몇가지 코드로 메일 주소와 공격 대상을 변경하여 작성되었다. 각 디렉토리 명은 [표 2]와 같이 도메인의 일부 스트링이 포함되도록 했는데, 공격자도 해당 코드들을 구분하여 관리할 목적으로 이와 같이 분류한 것으로 보인다.

 [표 2] 정보유출 메일주소와 유사한 스트링으로 구성된 디렉토리 명

업로드 된 파일 중 정상 사이트의 로그인 페이지를 위장해 사용자로부터 ID와 패스워드를 입력 받는 폼을 가진 파일은 아래와 같이 네이버 웍스를 위장하고 있다.

 [그림 4] 네이버 웍스 위장 피싱 페이지

참고로, 정상적인 네이버 웍스 로그인 화면은 아래 [그림 5]와 같다. 피싱 페이지와 달리 이메일만 입력하는 등 로그인 옵션에 차이가 있다.

 [그림 5] 정상 네이버 웍스 로그인 페이지

악성 스크립트는 사용자의 IP, 운영체제(OS), 접속 브라우저 정보 등을 수집하고 이후 ‘hxxp://wxx.geoplugin.net/json.gp?ip=[사용자 IP]’ 에 접속하여 사용자의 국가, 지역, 도시 등의 정보도 추가적으로 수집한다. 수집한 정보는 “[국가 이름] || NavWork” 제목으로 [표 1]에 명시된 공격자의 메일을 전송한다.

- 메일 제목: [국가 이름] || NavWork

- 유출 내용: 사용자의 IP, OS, 접속 브라우저 정보

- 파일 별 정보유출 메일주소는 [표 1] 참고

메일 플러그 케이스의 피싱 메일은 아래와 같이 유포 중이다.

 

[그림 6] 피싱 메일 1

 [그림 7] 피싱 메일 2

메일 플러그 사용자 대상 피싱 메일의 경우 ‘철골제작 견적요청’, ‘견적의뢰 건 P/O FIBN’ 등의 제목으로 유포되는 것으로 보아 건설회사를 대상으로 하는 것으로 추정된다. 또한, 아래와 같이 html 파일 타이틀에 회사명이 작성되어 있어 메일 플러그를 사용하는 특정 회사의 사용자를 대상으로 유포되었음을 알 수 있다.

 

[그림 8] 메일 플러그 위장 피싱 페이지

해당 페이지를 POST method를 통해 요청할 시, 클라이언트의 IP로 ‘hxxp://wxx.geoplugin.net/json.gp?ip=[사용자 IP]’에 접속하여 추가 정보를 수집한다. 사용자 이메일, 패스워드, 사용자 에이전트(User Agent), 현재 시간, 호스트 네임(Host Name) 등 수집한 정보를 아래 형식에 맞게 작성하고 “You’ve got mail from [사용자 IP] ([국가 이름])” 제목의 메일을 공격자 메일 주소로 전송한다.

- 메일 제목: “You’ve got mail from [사용자 IP] ([국가 이름])

- 유출 내용: 사용자 이메일, 패스워드, 사용자 에이전트, 현재 시간, 호스트 네임

- 파일 별 정보유출 메일주소는 [표 1] 참고

 [그림 9] 하이웍스 위장 피싱 페이지

하이웍스 사용자 대상 피싱 메일은 위장 스크립트 형태로 유포 중이며, 해당 스크립트를 메일에 첨부해 다수의 사용자에게 유포했을 것으로 보인다. 수집한 정보를 특정 메일 계정으로 전송하도록 구성되어 있으며, 수집된 정보는 “You’ve got a HI_WORKS message from [사용자 ip]” 제목으로 공격자 메일 주소로 전송된다. 이후 정상 하이웍스 페이지인 hxxps://wxx.hiworks.com/로 리다이렉트된다. 따라서 사용자는 피싱 스크립트임을 의심하기 더욱 어렵다.

- 메일 제목: You’ve got a HI_WORKS message from [사용자 ip]

- 유출 내용: 사용자 ID, 패스워드, IP, 호스트 네임, 사용자 에이전트, 입력 시간(submit time)

- 파일 별 정보유출 메일주소는 [표 1] 참고

천리안 사용자를 대상으로 한 공격은 다른 피싱 파일들과 동일하게 사용자 이메일, 패스워드, IP, 사용자 에이전트 등의 정보를 수집하여 ‘You’ve got a chol message from [사용자 ip]’ 제목으로 chriseuro512@gmail.com에 전송한다.

- 메일 제목: You’ve got a chol message from [사용자 ip]

- 유출 내용: 사용자 이메일, 패스워드, IP, User Agent

- 파일 별 정보유출 메일주소는 [표 1] 참고

위 [표 1]에는 언급되지 않았으나 공격자는 동일 도메인 사이트 내 공격 파일을 주기적으로 변경 및 관리한다. 분석 시점 당시 사이트 구조는 [표 1]과 같았으나, 이후 [그림 10]과 같이 다음 사용자들을 대상으로 한 피싱 코드도 확보했다.

 [그림 10] 다음 위장 피싱 페이지

유출 정보는 하이웍스와 동일하며 전송되는 메일 제목에만 차이가 있다.

- 메일 제목: You’ve got a Daum message from [사용자 ip]

- 유출 내용: 사용자 이메일, 패스워드, IP, User Agent

- 정보 전송 공격자 메일: chriseuro512@gmail.com (해당 메일 주소도 [표1]에 포함)

위 사이트들 외에도 이러한 구조로 관리되고 있는 다른 도메인의 사이트들이 존재한다. 이처럼 다양한 피싱 스크립트들을 포함, 특정 도메인으로 구성해 공격에 활용하는 것으로 추정된다.

이번 글에서 설명한 메일 서비스들은 다양한 기업에서 사용하고 있어 각별한 주의가 필요하다. 피싱 스크립트는 이메일을 통해 유포되기 때문에 사용자들은 의심스러운 메일을 수신할 경우 첨부파일 실행을 지양해야 한다. 또, V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야한다.

보다 자세한 사항은 ASEC 블로그를 통해 확인할 수 있다.