그룹웨어 계정정보 탈취 악성 이메일 분석

 

"본 블로그의 모든 정보는 합법적이고 윤리적인 보안 연구와 교육 목적으로만 사용되어야 합니다. 불법적인 해킹 및 악의적인 활동에 사용될 경우, 그 책임은 전적으로 사용자에게 있습니다."

 

그룹웨어 계정정보 탈취 악성 이메일 분석

 

 

□  개요 
    이메일 계정 보안 강화를 취지로 인증코드 입력을 유도하는 메일이며, 인증코드 받기 시도시 그룹웨어 로그인을 유도하여 아이디(이메일 주소)/패스워드를 탈취 함.

 

□  동작방식  
    1. 공격자로부터  계정 보안을 위한 인증코드 버튼 클릭을 유도하는 사칭 이메일 수신
    2. 계정 보안을 위한 인증코드 버튼 클릭 시 사칭 웹페이지를 통해 그룹웨어 로그인을 유도함.
    3. 아이디/패스워드 입력 > 로그인시 지정된 악성사이트로 아이디(이메일주소)/패스워드를 전송 함.

---

 

□  분석결과 
   1. 공격자로부터  계정 보안을 위한 인증코드 버튼 클릭을 유도하는 사칭 이메일 수신 함.

[그림1] 의심스러운 메일 수신

 

 

 2. 계정 보안을 위한 인증코드 버튼 클릭 시 사칭 웹페이지를 통해 그룹웨어 로그인을 유도하며, 로그인을 위한 이메일 주소는 수신자 주소로 자동으로 지정되어있다.

[그림2] 그릅웨어를 사칭한 로그인 페이지

 

 

 3. 사칭 로그인 페이지 소스코드 분석 결과 로그인시 아이디(이메일주소)/패스워드를 공격자가 지정한 악성 사이트로 전송하도록 AJAX(에이잭스) 코드로 개발되어 있다.

[그림3] 로그인 페이지 소스코드 분석

 

 

4. 계정 정보를 수집하는 악성 사이트 주소가 Base64로 인코딩 되어있다. (노출을 최대한 숨김)

      1) Base64 인코딩 : aHR0cHM6Ly9sbXQuaGhzZGFybGluZ3Rvbi5jby51ay9vdm8vZ2VuLnBocA==

      2) 디코딩 : hxxps://lmt.hhsdarlington.co.uk/ovo/gen.php

[그림4] 악성 URL 디코딩

 

5. 아이디/패스워드 입력 > 로그인시 지정된 악성사이트로 아이디(이메일주소)/패스워드를 전송 함.

[그림5] 악성 사이트로 이메일주소 및 패스워드 전송

 

□  대응방안  
    1. 의심스러운 사이트 접속 시 개인정보를 입력하지 않는다.
   2. 악성 이메일 발신지 IP와 이메일주소를 차단한다.
       - yjkim@magtech.co.kr(80.85.152.29)
   3. 계정정보를 전송하는 웹사이트 접근을 차단한다.
       - hxxps://lmt.hhsdarlington.co.uk(103.153.183.192)
    4. 브라우저(구글크롬-세이프브라우징) 보안기능을 활성화 한다.

 

이상.  끝.