김수키(Kimsuky)로 추정이 되는 카카오 고객센터 피싱 메일(2024.12.16)

오늘은 김수키(Kimsuky)로 추정이 되는 카카오 고객센터 피싱 메일(2024.12.16)에 대해 분석을 한번 해보겠습니다.
이메일 내용은 다음과 같습니다.
kakao 계정
회원님의 아이디가 휴면 상태로 전환될 예정입니다.
해당 메일을 수신 받은 후 1개월 이내에 본인확인을 하지 않으면,
회원님의 아이디가 휴면 아이디로 전환되는 점을 알려드립니다.
--------------------------------------------------------------------------------
아이디 :?@hanmail(.)net
휴면 아이디 전환 예정일 : 2025년 1월 12일
별도 분리 보관되는 개인정보 항목 : 아이디 및 회원정보
--------------------------------------------------------------------------------
다만 별도 분리 보관되는 기간 내에 카카오 메일을 이용하지 않을 경우,
회원님의 아이디는 삭제되고 개인정보도 지체 없이 파기됨을 알려드립니다.
본인 확인

앞으로도 kakao팀은 회원님 개인정보를 소중하게 관리하고, 보다 더 안전하게 이용할 수 있도록 노력하겠습니다.
이용하시면서 느끼는 불편함이나 개선 의견이 있으시면 고객센터로 알려 주시기 바랍니다.
으로 돼 있는 것을 확인할 수가 있으며 보낸 사람의 이메일 주소를 잘 보며 이상한 것을 눈치를 챌 수가 있습니다.
noreply_system001@kaka(.)net
이라고 돼 있는데 정상적인 카카오고객센터는 noreply@kakaocorp(.)com 입니다.

이메일 헤더 내용

Received-SPF: pass (mx(.)daum(.)net: domain of root@uws64-180(.)cafe24(.0com designates 183(.)111(.)174(.)84 as permitted sender)
To:?????@hanmail(.)net
Subject: =?UTF-8?B?W0tha2FvXSDtmozsm5Dri5jsnZgg7JWE7J2065SU6rCAIO2ctOuptCA=?=  =?UTF-8?B?7IOB7YOc66GcIOyghO2ZmOuQoCDsmIjsoJXsnoXri4jri6Qu?=
Date: Mon, 16 Dec 2024 15:42:20 +0900
From: =?utf-8?B?7Lm07Lm07Jik7YyA?= <noreply_system001@kaka(.)net>
Message-ID: <7737f0cc2c82cce3d45aeb0cbecd898c@7737f(.)nm>
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="-----Boundary-WM=_c11925d0cb8c.7737f0cc2c82cce3d45aeb0cbecd898c"

이메일 헤더 분석

1.발신 도메인과 IP 분석
발신 도메인:uws64-180(.)cafe24(.)com
cafe24(.)com은 한국에서 널리 사용되는 웹 호스팅 및 도메인 서비스 제공업체
발신 IP:183(.)111(.)174(.)84
IP는 cafe24 서비스에 할당된 것 한국에 있는 서버
DNS 역추적 결과도 uws64-180(.)cafe24(.)com
SPF 검증 결과
SPF(Sender Policy Framework)는 발신 도메인이 해당 IP를 합법적인 메일 송신 IP로 등록했는지 확인
pass로 표시된 것은 해당 메일이 합법적인 서버에서 발송
다만, SPF만으로 메일이 안전하다고 단정할 수는 없음
2.메일 발송 경로(Received 헤더 분석)
발신 서버: uws64-180(.)cafe24(.)com ([183(.)111(.)174(.)84])
수신 서버:hermes of dmail-rmail-ayvm33 (내부 서버:10(.)93(.)96(.)71)
IP 주소 183(.)111(.)174(.)84 에서 첫 번째 인증이 이루어졌으며 이후 내부 네트워크를 거쳐 최종적으로 수신자(????@hanmail(.)net)
3.헤더의 기타 정보
X-Hanmail-Peer-IP:183(.)111(.)174(.)84
hanmail(.)net 수신 서버에서 발신 서버의 IP를 기록 SPF 결과와 일치

X-Hanmail-Env-From:root@uws64-180(.)cafe24(.)com
여기서 root 계정이 사용된 점이 주목
호스팅 서버에서 시스템 계정을 통해 자동으로 발송된 이메일일 가능성을 생각할 수가 있습니다.
X-Hera-Urls:e398a53(0)b742a7e9e2314f5e8527805eeb713f26c40f9376420a9fcd4c1f4156`
X-Hera-Urls는 다수의 메일 서비스에서 추적에 사용되는 해시 값
해당 값은 메일 본문에 포함된 URL을 확인하거나 피싱 여부를 판단하는 데 도움이 될 수가 있습니다.
4. 발신자 정보
From 필드: `=?utf-8?B?7Lm07Lm07Jik7YyA?= <noreply_system001@kaka(.)net>
발신자의 이름은 UTF-8로 인코딩된 문자열
이름: 카카오 시스템
이메일:noreply_system001@kaka(.)net
이메일 주소는 kaka(.)net도메인을 사용
카카오(Kakao)의 공식 도메인(kakaocorp.com)과 유사하지만, 실제 카카오의 도메인이 아님
즉 공격자는 cafe24 서비스를 악용할 수가 있으며 이메일 Raw 값을 보면 Base 64로 돼 있는 것을 확인할 수가 있으며 해당 부분을 Base 64를 디코딩하면 이것을 벗겨 내며 해당 피싱 메일에 어떤 내용이 있는지를 확인을 할수가 있습니다.
그러면 다음과 같은 내용을 피싱 주소를 획득 할수가 있습니다.
hxxp://jad(.)co(.)kr/module/lgxpay/login/746912247(.)php?lagnkvl=5&sessionltc=ko_KR&tokenbdt=Lj9HFzhSQ1FBWh4cU(l)EsBzJaU0ExGBQRLhlSDhQmRiV5HF(U)EUxlSI0AMRQJLM04HRTBXEGN4e04OE0NnI3IZRWBiXU5xbQwYE3Ro(d)BJ9SGUGYk0YbwdbJyN1DCk2I2AWaDkxUHMVcA5lB1lSPX5CcAQXMncJck9aZHF4eGFnDFUiZRkeHWdIVxJr(X)UtiAxIJFgcRAAALFjNRGA0ZFShEThVxGUI7QUUYJDdABylAEAZIQxlaHFRjRSducXALaG1gJ2NCZHAoZRIBc(z)w&mode1b2=5&token_help7xw=privacy

어느 유명 기업들 웹사이트 관리하는 업체를 해킹해서 해당 사이트를 이용한 것을 확인할 수가 있으며 당연히 고객센터는 다음 카카오 고객센터로 연결되게 돼 있습니다. 결론 언제나 웹사이트 제작 및 관리해주는 업체 털어서 피싱 또는 악성코드 경유지로 악용하는 것을 확인할 수가 있었습니다.
항상 주의하는 습관을 가지는 것을 권장합니다.

'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글

삼성 갤럭시 S24,삼성 갤럭시 S23(Galaxy S24/S23 Explain) 타겟으로 하는 취약점 CVE-2024-49415 (0)	2025.01.31
Kimsuky(김수키) 로 추측이 되는 부가가치세 확정신고 납부 통지서 피싱 메일 분석(2025.1.20) (0)	2025.01.30
딥씨크(DeepSeek) 개인정보,기기,폰번호 등 수집 및 중국 서버 저장 (0)	2025.01.29
의료기관을 노린 가짜 YouTube(유튜브) 로 리디렉션 피싱 메일-11.eml (0)	2025.01.28
북한 해킹 단체 Konni APT(Advanced Persistant Threat) 만든 악성코드-오류발견 수정신고 제출 요청 안내(국세징수법 시행규칙).hwp.lnk(2025.1.7) (0)	2025.01.24
트럼프 틱톡 미국 구매자를 찾는 기한을 틱톡금지법 90일간 유예 (0)	2025.01.23
Kimsuky(김수키)에서 만든 공적조서(개인,양식)로 위장한 악성코드 (0)	2025.01.21
윈도우 10 KB5049981,윈도우 11 KB5050009 & KB5050021 보안 업데이트 (0)	2025.01.16