오늘은 코레일(Korail) 4월 급여 명세서로 위장한 피싱 메일 분석을 해보겠습니다. 일단 이메일을 열며 다음과 같은 메일 화면을 볼 수가 있습니다.
부착: 1파일 (322.09 KB)
AM Korail, 2026년 4월 급여명세서 파일.pdf
keep index
정말 수고 많으셨고, 진심으로 축하드립니다.
Payroll Dept.
Korail Co., Ltd.
헤더 분석
표시 발신자:korail Co., Ltd->정상적인 코레일 처럼 보이게 위장
실제 From 주소:Hr_account2656@hilywil(.)com->korail.com이 아닌 것을 그냥 눈에 쉽게 확인 가능 메일 주소만 보면 쉽게 확인 가능
수신자:w????@korail(.)com
제목 4월 급여 지급 안내 Korail 임직원 대상 급여 피싱
발신 IP:144(.)91(.)101(.)145->외부 서버에서 발송(프랑스 France, Grand-Est, Lauterbourg)
중계 IP:175(.)123(.)132(.)46,175(.)123(.)132(.043->Korail 관련 서버처럼 보이지만 보안장비 경유 가능
HELO:adoublealmidion(.)asia->Korail과 전혀 상관없는 도메인
보안장비: AhnLab MDS-MTA,CrediShield->메일 보안 장비를 통과한 흔적
일단 메일 헤더도 중요하지만 피싱 사이트가 중요
HTML 언어코드가 아닌 "已下架 로 되어져 있는 것을 확인<-일단 중국인 추정
웹 소스를 보면 계정 탈취용 피싱 스크립트가 포함된 것을 확인할 수가 있습니다.
수집 대상
Email: 사용자의 이메일 계정
Password: 입력한 비밀번호
Checker: email: password 형태 조합
Browser: 브라우저 정보
Language: 브라우저 언어
MX Record:피해자 도메인의 메일 서버 정보
IP Address:접속자 IP
Region and Country:지역,국가 정보
Date: 입력 시각
전송 텔레그램
hxxps://api(.)telegram(.)org/bot7431481834:AAHf5y98Q_upfa6Y47Gj(C)HhNTxtjsmHTBfU/sendMessage
HTTP Debugger Pro 본 트래픽 내용 분석
브라우저가 Telegram Bot API로 메시지를 보내는 구조가 포함돼 있음
hxxps://storage(.)googleapis(.)com
공격자는 Google Cloud Storage에 HTML 피싱 페이지를 올려두고 사용자가 해당 페이지에서 로그인 정보를 입력을 유도
코레일 서버 조회 전송 흔적
mail(.)korail(.)com
mail01(.)korail(.)com
spam(.)korail(.)com
탈취된 정보
Telegram chat_id:5320063832
메시지 제목: General Webmail ReZulT
Email:wh???5@korail(.)com
Password:비밀번호 포함됨
Checker:wha???5@korail(.)com
Browser:5.0 (Windows)
Language:ko-KR
MX Record:20 mail(.)korail(.)com. / 30 mail01(.)korail(.)com. / 10 spam(.)korail(.)com
IP Address:??
Region and Country:i l, a
Date:Mon May 04 2026 17:39:32 GMT+0900 (한국 표준시)<-어차피 개인적으로 입력한 시간
HTTP 헤더 함께 전송된 환경 정보
Host:api(.)telegram(.)org->전송 대상
User-Agent:Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:151.0) Gecko/20100101 Firefox/151.0 Windows 10 x64 / Firefox 브라우저 정보
Accept-Language:ko-KR,ko;q=0.9,en-US;q=0.8,en;q=0.7->한국어 환경
Content-Type:application/x-www-form-urlencoded; charset=UTF-8->폼 데이터 전송
Origin:hxxps://storage(.)googleapis(.)com->피싱 페이지가 열린 출처
Referer:hxxps://storage(.)googleapis(.)com->피싱 페이지 호스팅 위치
Sec-Fetch-Site:cross-site->다른 사이트에서 Telegram으로 요청
Content-Length:589->POST 본문 크기
결론 해당 아이디가 진짜 코레일 직원일 경우 비밀번호 변경 로그 정보 확인을 통해서 자료들이 유출 여부 확인 해야 하면 메일 정보에서 이메일 주소 등을 잘 확인하는 습관이 가지는 것과 사내 보안 교육을 강화해야 할 것입니다.
아무튼 중국몽은 だめ だめ 한마디로 중국과 대만 국내 문제가 어떻게 되든 우리가 뭔 상관있나? 가 아니고 중국에는 셰셰 일단 禁止
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 북한 해킹 단체 김수키(Kimsuky)만든 악성코드-Condor_API-1.chm (0) | 2026.05.08 |
|---|---|
| Microsoft Edge(마이크로소프트 엣지)실행 시 모든 비밀번호를 메모리에 평문으로 저장 문제 발생 중 (0) | 2026.05.06 |
| Windows 11 KB5083769 업데이트 인해 백업 소프트웨어 오류 발생 (0) | 2026.05.05 |
| 정체를 알수 없는 APT 악성코드-NovaCX_Agency_Updated_2026047_091100_version_1_8.docx.lnk (0) | 2026.05.04 |
| 김수키(Kimsuky)에서 만든 악성코드-install.bat (0) | 2026.04.30 |
| 김수키(Kimsuky) 전문의약품 제약 회사를 노리는 악성코드-화이트 생명과학 ERP 사양서 (0) | 2026.04.27 |
| 김수키(Kimsuky) KB 국민카드 사칭 악성코드-KB_202604.html.lnk (0) | 2026.04.24 |
| Kimsuky(김수키)에서 만든 악성코드-2026년 한국 에너지 기술개발산업 최종 평가 위원회 (0) | 2026.04.20 |
