안랩 ASEC은 11월 15일부터 국내에 유포되는 이력서 사칭 메일관련하여 아래의 글을 게시하였다.
- http://asec.ahnlab.com/1178 (이력서를 가장하여 유포중인 GandCrab 랜섬웨어 (2018.11.15))
당시 공격자가 사용하는 발신자 메일주소는 아래의 사이트를 통해 확인 가능하며, "mshuherk@gmail.com" 메일주소를 갖는 사용자에 의해 등록되는 것으로 확인되었다. - https://domainbigdata.com/gmail.com/mj/AizKbe0W3X_QZVcjg5-C9Q
ASEC블로그를 통한 최초 공개 당시에는 11월 10일자에 생성한 도메인까지만 확인되었으나, 이후 11월 16일과 19일에도 새로운 도메인이 등록된 것을 알 수 있다. 11월 16일과 19일에 등록된 도메인은 다음과 같다.
- servicegoogletech.com 2018-11-16
- koreanodongcheong1.com 2018-11-19
- koreanodongcheong2.com 2018-11-19
- koreanodongcheong3.com 2018-11-19
- koreanodongcheong4.com 2018-11-19
- koreanodongcheong5.com 2018-11-19
이렇게 새롭게 생성된 도메인이 아래의 그림에서 처럼 정부기관 사칭 메일발송에 사용된 것을 알 수 있다. 즉, 공격자로 추정되는 "mshuherk@gmail.com" 사용자에 의해 등록되는 도메인은 지속적으로 모니터링할 필요가 있다.
[2018.11.26] Update
11월 26일 날짜에 새롭게 등록된 아래의 도메인들이 사칭 메일주소로 사용될 것으로 추정되어 해당 도메인으로 발송된 메일에 포함된 링크는 클릭하지 않는 주의가 필요하다.
- windykacja-orange.com 2018-11-26
- tojuntongsang.com 2018-11-26
- orange-platnosc.com 2018-11-26
- jihakimage.com 2018-11-26
- hannasangsa.com 2018-11-26
- donghakimage.com 2018-11-26
'악성코드 정보' 카테고리의 다른 글
| DOC 확장자를 사용하는 XML파일 대량 유포 중 (Emotet) (0) | 2018.11.28 |
|---|---|
| CVE-2018-8174 취약점 분석 (0) | 2018.11.26 |
| [주의] EPS 파일을 이용한 악성 한글 HWP 문서 | 업데이트 필수 (0) | 2018.11.22 |
| V3 Uninstall 기능을 제거하여 유포되는 GandCrab v5.0.4 (0) | 2018.11.21 |
| 악성 매크로 스크립트를 포함하고 있는 한글 HWP 주의 (0) | 2018.11.19 |
댓글