오늘은 북한 해킹 단체에서 제작한 네이버 블로그 제한 안내 드립니다.피싱 메일 분석(2025.6.30)에 대해 알아보겠습니다.
일단 해당 피싱 내용은 간단합니다. 블로그 운영 원칙을 어겼으니 검색 결과 및 ㄱ
블로그 제한 안내 드립니다.
안녕하세요. 네이버 고객센터입니다.
회원님께서 운영하시는 블로그의 제한 내용을 안내드리고자 합니다.
안내 내용님의 블로그 모든 게시물 검색 제외(삭제 예정)
상세 정보
제한 항목 님의 블로그
제한 사유 저작권침해(게시중단)
제한 일시 2025.06.30
확인하러 가기
확인 요청 사항
위에 안내드린 제한 사유와 운영원칙을 참고하셔서 부적합 게시물을 수정 또는 삭제하신 후에 고객센터로 제한 해제 요청을 해주시기 바랍니다.
이용에 불편을 겪게 해드려 죄송합니다.
네이버는 모두가 즐거운 공간이 될 수 있도록 다른 이용자에게 불편을 줄 수 있는 행위를 최소화하고자 노력하고 있습니다.
더욱 건강한 인터넷 환경 마련을 위해 회원님의 양해 부탁드리겠습니다.
감사합니다.
2025.06.30
네이버 드림
메일은 발신전용으로, 서비스 관련 궁금하신 사항은 고객센터에서 확인해 주세요.
라고 돼 있지만, 실제적으로는 접속했을 때 네이버 ID는 미리 준비된 상태에서 비밀번호만 입력하면 끝입니다. 그러면 비밀번호와 ID를 동시에 탈취할 수가 있기 때문에 그러면 해당 네이버 계정으로 등록된 개인정보를 바탕으로 여러분의 소중한 개인정보 탈취를 위한 작업을 할 것입니다.
메일 발신 주소
goga(.)dymkin@inbox(.)ru일단 러시아인 것을 알면 쉽게 네이버 공식 신고센터가 아닌 것을 확인할 수가 있습니다.
해당 사이트는 다음과 같습니다.
hxxpnewdoc(.)hcaredocs(.)o-r(.)krblogwreply=@naver(.)com&m=https%3A%2(F)%2Fnid(.)nav
er(.)com%2Fnidlogin(.)login%3Furl%3Dhttp%253A%252F%252Fmail(.)nave
r(.)com%252F자~여기서 한글 도메인을 사용하는 것을 확인할 수가 있습니다.
이메일 헤더를 보면 발신자는 다음 IP를 사용하는 것을 확인할 수가 있습니다.
95(.)163(.)59(.)12
이며 해당 피싱 메일 주소는 왜 피싱 인지 확인하는 방법은 간단합니다.
분석
1. 도메인
기본 도메인인데 hcaredocs(.)o-r(.)kr
hcaredocs라는 이름으로 보면 합법적인 문서나 헬스케어 관련 서비스처럼 보이려 하지만 (.)o-r(.)kr이라는 도메인 부분이 매우 비정상적
2.합법적인 URL을 가장한 방법 사용
인코딩된(URL-encoded) 실제 네이버 URL을 매개변수 안에 숨겨두었다는 점
wreply=@naver(.)com해당 매개변수는 네이버 이메일 주소를 포함하고 있어 사용자에게 더 신뢰감을 주거나 사용자의 응답을 기다리는 것이 목적으로 보이지만 기만행위 목적
m=https%3A%2F%2Fnid(.)naver(.)com%2Fnidlogin(.)login%3Furl%3Dh(t)tp%2(5)3A%(2)52F(%)252F(m)ail(.)naver(.)com%252F해당 부분이 가장 중요
해당 코딩된 부분을 디코딩(decode)하면 hxxpsnid(.)naver(.)comnidlogin(.)loginurl=hxxpmail(.)naver(.)com 이라는 실제 네이버 로그인 페이지 URL이 나오며 이렇게 해서 사용자가 실제 네이버 서비스에 접속한다고 믿도록 속이기 위한 목적으로
공격자는 사용자를 자신들의 가짜 사이트로 먼저 유도한 다음 자격 증명을 훔치고 실제 네이버 페이지로 리디렉션 목적
3. 착각을 위한 경로 및 쿼리 매개변수
URL에 포함된 blog 와 같은 경로와 wreply=, &m=와 같은 쿼리 매개변수들은 내장된 합법적인 URL을 호스팅 하거나 전달하기 위해 설계된 것 보기에 합법적인 웹사이트 일부처럼 보이지만 실제로는 악성 리디렉션을 통한 피싱의 목적이 강함
wreply 파라미터에 네이버 이메일이 있는 것 보면 특정 사용자를 노리기 위한 스피어 피싱 인 것을 확인을 할 수가 있음
Russian Federation Moskva Vk Services 을 이용함
아무튼, 이런 메일과 최근 핫한 키워드인 민생회복지원금 일명 소비지원금을 통해서 공격할 가능성도 매우 클 것 같습니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 주적 북한 해킹 단체 코니(Konni)에서 제작한 악성코드-자금출처명세서.lnk(2025.5.28) (0) | 2025.07.21 |
|---|---|
| 스마트폰 충전 중 스마트폰 해킹 초이스재킹(Choice Jacking) 예방 방법 (0) | 2025.07.18 |
| 부킹 닷컴(Booking) 피싱 사이트를 악용한 클릭픽스 공격(Clickfix) (0) | 2025.07.16 |
| 애플 맥(Apple macOS) 맥북 저장 공간 확보를 악용한 클릭픽스(ClickFix) 공격 사이트 간단 분석(2025.7.11) (0) | 2025.07.16 |
| 위쳇(Wechat)으로 위장한 스테가노그래피(Steganography)를 악용한 악성코드-Meterpreter 백도어(2024.5.29) (2) | 2025.07.14 |
| 러시아 프로 농구 선수 다닐 카사트킨 (Daniil Kasatkin) 랜섬웨어 공격에 가담한 혐의로 체포 (0) | 2025.07.13 |
| 7-Zip 25.00 보안 업데이트 및 더 많은 CPU 스레드를 지원하고 압축 속도를 향상 (0) | 2025.07.12 |
| 윈도우 11,윈도우 10 KB5062553,KB5062552,KB5062554 보안 업데이트 (0) | 2025.07.10 |
