오늘은 코레일(Korail)직원을 노린 것으로 추정되는 피싱 메일 분석을 해보겠습니다.
일단 단순하게
??@korail(.)com이 본인의 이메일 주소인지 확인해 주십시오
계정 ID를 확인하세요???@korail(.)com
계속 사용하시고 서비스 중단을 방지하려면 소유권을 확인해 주십시오 라고 된 부분은 이미지 파일로 구성이 되어져 있습니다.
이메일 헤더 분석
1.실제 발신 계정
표시 이름은 KORAIL이지만 인증된 발신자는 samyangfoods(.)store 도메인 계정
KORAIL 공식 아님
2.발신 서버
AWS EC2 서버에서 발송
기업 메일 발송 서버일 수도 있지만 피싱 발송 인프라로도 자주 악용
3.중간 경유 IP 의심
85(.)121(.)215(.)235 가 외부 발신,경유 IP KORAIL 내부 정상 발송 경로 아님
4.DKIM 오류
DKIM 검증이 정상 통과하지 않았으며 서명 형식이 깨졌거나 조작 가능성
5.Message-ID 이상
정상적인 도메인 기반 Message-ID가 아님
AhnLab MDS-MTA 안랩 메일 보안 게이트웨이(AhnLab MDS-MTA)를 통과 한 부분
피싱주소
hxxp://bellingham-stanley(.)ru/wp-includes/Text/ablkqnw/1gwnqls/gcsynwz/alk/koreee(.)html#???@korail(.)com
피싱 사이트는 진짜 코레일 사이트를 배경으로 보여주며 비밀번호를 입력하게 해서 비밀번호를 탈취하기 위한 목적인 것을 확인할 수가 있습니다.
일단 단순해서 설마 피싱 메일에 당하지 않았을 거라 생각이 됩니다.
어느 조직인지는 모르겠지만, 코레일을 노리는 것이 조금은 보이기 시작을 하는 것 같습니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 김수키(Kimsuky)에서 만든 악성코드-[KBS 일요진단]질문지 (0) | 2026.06.03 |
|---|---|
| Kimsuky 바이낸스(Binance) 사칭 해서 암호화폐 사용을 노리는 악성코드-BN_FIU_2026.chm (0) | 2026.06.01 |
| AMD의 광범위한 프로세서에 취약점을 해결한 BIOS 업데이트 공개 (0) | 2026.05.29 |
| 오산 공군기지를 공격을 한것으로 추측 이 되는 김수키(Kimsuky) 에서 만든 악성코드-Update_251001 ACM Sakesan Kantha.pdf.lnk (0) | 2026.05.28 |
| 구글 실수로 수정되지 않은 크롬 취약점의 세부 정보를 공개 (0) | 2026.05.27 |
| 마이크로소프트 새로운 윈도우 디펜더 제로데이 취약점이 공격에 악용 중 (0) | 2026.05.26 |
| 김수키(Kimsuky)에서 만든 악성코드-2026년 방위산업기술개발사업 최종평가위원회 위원 위촉 안내.pdf.lnk (0) | 2026.05.25 |
| 북한 김수키(Kimsuky) 에서 만든 악성코드-5월 신고 납부기한 통지서.pdf.lnk (0) | 2026.05.22 |
