오늘은 나이스투미츄우 엔 유 김수키(Kimsuky)으로 추정이 되는 국민 비서 경찰청 고지 안내 피싱 메일에 대해 분석을 해보는 시간을 가져 보겠습니다.
일단 해당 메일 내용은 네이버에서 제공하는 전자문서 시스템으로 위장하고 있으며 경찰청 고지 안내 피싱 메일입니다.
피싱 내용은 다음과 같습니다.
새로운 전자문서가 도착했어요.
????@naver(.)com님 지금 확인해 보세요.
발송기관:국민비서
전자 문서 종류[국민비서] 경찰청 고지 안내
인증기한:2025-04-24 23:59까지
기한 내 열람 하지 않으면 발송기관 정책에 따라 다른 수단(종이 우편, SMS/LMS 등) 또는 다른 채널(타사앱)로 발송됩니다.
기관에서 정식 발송된 문서는 네이버앱 Na. 전자문서에 표시됩니다.
이라고 돼 있습니다.
여기서 보면 뭐 네이버 전자문서로 온 것을 확인되는 것 같지만 그게 아니고 사실은 러시아에서 발송된 이메일입니다.
이것을 확인하기 위해서 이메일 헤더를 열어보아야 합니다.
발신 이메일 주소
이메일 주소:angelosmxtpl@list(.)ru->89(.)221(.)237(.)155 러시아 모스크바 에서 발송을 한 것을 확인할 수 있습니다.
수법
1. 도메인 위장:
실제 p-doc(.)docpolice(.)p-e(.)kr 로 연결
해당 도메인은 공식 네이버와 전혀 관련 없는 도메인
2. 링크 조작 기법 (URL forwarding / redirection confusion):
파라미터(m=) 안에 실제 네이버 로그인 주소가 들어 있어 사용자를 속여 나는 이 링크는 네이버 로그인이라고 이메일 받은 사람에게는 착각하게 하여 최면을 걸고
하지만, 클릭 시 실제 이동하는 서버는 p-e(.)kr 도메인이며 이곳에서 가짜 로그인 페이지를 띄워 네이버 계정 정보(아이디, 비밀번호)를 탈취하는 것이 목적인 것이 전형적으로 북한 애들이 사용하는 내도메인(.)한국을 악용을 하고 있음
3. 수신 이메일 주소가 URL에 포함됨:
wreply=???@naver(.)com 부분이 URL에 포함되어 있으며 공격자가 해당 링크를 개별 수신자 전용으로 커스터마이즈 해서 해당 메일을 받은 사람을 직접 공격하는 방식을 사용하고 있습니다.
해당 부분을 통해서 계정을 획득하고 네이버에 메일 등을 열어보아서 돈 되는 것들은 털어갈 것입니다.
결론: 이메일 주소 확인 잘하고 내가 누르는 링크가 올바른 링크인지 잘 판단 하자입니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 탈북자 분들을 노리는 북한 해킹 단체 APT37(Reaper)에 만든 악성코드-김x민대표님모금캠페인.lnk(2024.10.31) (0) | 2025.06.27 |
|---|---|
| WinRAR CVE-2025-6218 디렉토리 트렉버설 취약점 해결 (0) | 2025.06.26 |
| 해킹을 통한 ClickFix(클릭픽스)공격 을 통한 컴퓨터 악성코드 감염(2025.6.23) (0) | 2025.06.26 |
| 북한 김수키(Kimsuky)에서 만든 악성코드-미신고 자금 출처명세서(찾아가는 법 찾기).zip(2025.6.4) (0) | 2025.06.23 |
| 김수키(Kimsuky)만든 허위 권리보호 작성하신 게시물이 게시중단 되어 안내 말씀 드립니다.피싱 메일 분석(2025.4.1) (0) | 2025.06.16 |
| 윈도우 11 KB5060842,KB5060999 윈도우 10 KB5060533 누적 업데이트 및 보안 업데이트 (0) | 2025.06.14 |
| myTOKYOGAS 사칭 피싱메일 분석-【myTOKYOGAS】ご請求料金確定のお知らせ(自動配信メール)(2025.6.4) (0) | 2025.06.12 |
| 유럽 여행시 좋은 유럽(EU)개인 정보 보호 및 보안 옵션 포함 DNS DNS4EU 출시 (0) | 2025.06.11 |
