서울 교육청 직원을 노린 피싱 이메일 분석

오늘은 서울 교육청 직원을 노린 피싱 이메일 분석하는 시간을 가져 보겠습니다. 일단 해당 발신자는 다음과 같습니다.
info@itechs(.)live
그리고 피싱 제목은 [긴급] 구버전 이메일 ???@sen(.)go(.)kr 업데이트 및 조치 요청로 되어져 있습니다.
안녕하세요, ???님.
현재 사용 중이신 이메일의 모든 구버전을 종료할 예정입니다.
계정이 비활성화되는 것을 방지하고 보다 체계적인 편지함을 이용하시려면, 아래 버튼을 눌러 로그인해 주시기 바랍니다. 
지금 업그레이드하기  
감사합니다.
sen(.)go(.)kr 웹메일 지원팀 드림
이번은 서울 교육청 웹메일 지원팀이라고 돼 있지만, 사실은 아님
이메일 헤더 분석
정상적인 sen(.)go(.)kr 발신 메일이 아닌 외부 도메인 itechs(.)live를 이용해 sen(.)go(.)kr을 사칭한 피싱 메일
공격자는 발신자 표시 이름에 sen(.)go(.)kr을 넣어서 사용자가 에게는 내부 시스템 메일로 착각하게 하여서 의심 없이 클릭 및 비밀번호 입력을 하기 위한 목적

피싱 이메일 내용

헤더 인증 결과

spf=pass
dkim=pass
dmarc=pass / p=none
겉으로 보면 인증을 통과한 메일처럼 보이게 돼 있음
중요한 점은 해당 인증이 sen(.)go(.)kr 발신 주소가 아닌 itechs(.)live
itechs(.)live 도메인에서 보낸 메일로는 인증 성공
sen(.)go(.)kr에서 보낸 정상 메일이 아닌 피싱 메일
도메인 등록기관 NAMECHEAP INC는 악성 도메인 등록에 흔히 사용되는 기관
esmtpsa 인증된 SMTP 세션을 의미

피싱 메일 헤더 내용

공격자는 마음대로 From 값을 조작한 것이 아니라 itechs(.)live 메일 서버를 통해 인증된 방식으로 메일을 발송
공격자 도메인: 공격자는 itechs(.)live를 사용을 하고 있음
서버 악용: mail(.)itechs(.)live->SMTP 계정 또는 서버가 악용됨
최초 접속 IP:216(.)250(.)251(.)96이 실제 공격자 위치(MAJESTIC-HOSTING)

피싱 사이트 접속 화면

실제 발신 주소:info@itechs(.)live
실제 발신 도메인:itechs(.)live
사칭 문자열:sen(.)go(.)kr
수신자:sonhb665@sen(.)go(.)kr
최초 SMTP 인증 접속 IP:216(.)250(.)251(.)96
발송 서버 IP:185(.)33(.)87(.)41
중간 서버 IP:202(.)171(.)248(.)76
HELO/EHLO:mail(.)itechs(.)live

HTTP Debugger Pro 로 본 개인정보 전송 내용

피싱 사이트 주소

hxxps://lemon-sky-0be5b4010(.)7(.)azurestaticapps(.)net/#????@sen(.)go(.)kr

HTTP Debugger Pro 로 보면 다음과 같이 개인정보가 전송 텔레그램으로 전송이 되는 것을 확인할 수가 있습니다.
그러면 지역, 브라우저 정보, 입력한 비밀번호 등이 전송되는 것을 확인할 수가 있습니다.