그룹웨어 로그인 사이트 위장… 이미 2,500건 이상 접근 이력 확인

[보안뉴스 원병철 기자] 최근 국내 그룹웨어의 로그인 사이트로 위장한 피싱 사이트가 발견됐으며, 이미 국내에서 2,500건 이상 접근한 이력이 확인됐다. 안랩 ASEC 분석팀은 그룹웨어 사용시 로그인 사이트를 잘 살펴볼 것을 권유했다.

[보안뉴스 / 9.8.] 국내 그룹웨어 계정정보 노린 ‘한국 타깃’ 피싱 발견

▲정상 vs 피싱 사이트[자료=ASEC]

안랩 ASEC 분석팀은 국내뿐만 아니라 해외에서 유포 중인 다양한 악성코드를 수집하기 위해 운영하는 허니팟에 8월부터 한국 계정에만 지속적으로 유포 중인 한국 타깃형 피싱 메일을 포착했다고 밝혔다.

해당 피싱 사이트는 국내 그룹웨어의 로그인 사이트를 위장한 것으로 국내에서 2,500건 이상 해당 사이트에 접근한 이력이 확인됐다. 따라서 사용자는 그룹웨어 사이트에 로그인 시 각별한 주의가 필요하다.

해당 피싱 사이트는 메일로 유포되는 것뿐만 아니라 구글 검색 엔진의 상위에도 노출되어 부주의 시 사용자 계정이 쉽게 유출될 위험이 있다. 최근까지 유포된 피싱 메일은 주로 ‘비밀번호 만료’ 나 ‘계정 비활성화’ 등을 내용으로 유포되고 있다.

[보안뉴스 / 9.8.] 국내 그룹웨어 계정정보 노린 ‘한국 타깃’ 피싱 발견

▲현재 유포 중인 피싱 메일 본문[자료=ASEC]

피싱 사이트에 접속 시 정상 사이트와 육안만으로는 구분하기 어려우며, 스크립트도 정상과 유사하다. 악성의 경우 스크립트 하단의 javascript 내부를 펼쳐보면 스크립트가 변경된 것을 확인할 수 있다.

[보안뉴스 / 9.8.] 국내 그룹웨어 계정정보 노린 ‘한국 타깃’ 피싱 발견

▲피싱 사이트 javascript 내부 계정 탈취 URL[자료=ASEC]

올해 해당 그룹웨어로 위장한 피싱 사이트는 총 5개가 확인됐으며, 아직까지 확인되지 않은 주소가 더 있을 것으로 보인다.

피싱 URL
– hxxps://5imk2-hiaaa-aaaad-qdtoa-cai.ic.fleek[.]co/?#(메일계정)
– hxxps://55l3x-gaaaa-aaaad-qdtnq-cai.ic.fleek[.]co/?#(메일계정)
– hxxps://5tjw7-5qaaa-aaaad-qdtmq-cai.ic.fleek[.]co/?#(메일계정)
– hxxps://siasky[.]net/OACzNPwRNbE5E1QBOVNanLc5pfd4RiKlb0JwLvQvHK3Elg?#(메일계정)
– hxxps://gfyyyryrye.steep-rice-1b7d.izulink0047002.workers[.]dev/

계정 유출 URL
– hxxps://dev-onaebe-all.pantheonsite[.]io/wp-content/cp.php

확인된 피싱 사이트
피싱 사이트 중 접근 수가 가장 많은 순위 TOP 3를 꼽으면 아래와 같다. 참고로 2,000건이 넘는 사이트는 올해 초부터 유포되어 왔으며, 100건이 넘는 URL의 경우 모두 8월부터 유포되고 있는 사이트다.

[보안뉴스 / 9.8.] 국내 그룹웨어 계정정보 노린 ‘한국 타깃’ 피싱 발견

▲피싱 사이트에 접근한 사용자 수, 상위 3개[자료=ASEC]

안랩 ASEC 분석팀은 이메일에 포함된 링크 클릭 시 반드시 주소를 확인해야 하며, 불분명한 메일에 대해 첨부 파일을 열지 않도록 해야 한다고 조언했다. 또한, 계정 정보를 요구하는 경우 다시 한 번 주소를 확인해 자신이 로그인 하는 대상 사이트가 맞는지 확인해야 한다고 강조했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>