2024년도 2기 확정 부가가치세 신고 기간을 맞아 국세청과 국내 포털 사이트 및 유명 사이트를 사칭하거나 인증 메일로 위장하는 등의 공격이 기승을 부리고 있어 주의가 필요합니다.
해당 공격 방법은 부가가치세 확정신고 납부 통지서와 같은 공공기관의 공식 문서로 위장하여 이메일을 전송하는 기법으로, 워터링홀 계열의 공격으로 확인됩니다.
취약점 인프라에 대해 분석한 결과, 공격에 사용된 IP 10개와 119개의 악성 도메인이 확인되었습니다. 이러한 정황은 이번 공격이 단순히 이벤트성 공격이 아닌 치밀한 사전 준비를 거친 조직적 악성 공격임을 보여줍니다.
특히, 해당 공격에 이용된 악성 도메인은 ‘niduser’, ‘nts’, ‘check-info’, ‘auth-check’와 같이 인증 절차나 계정 확인과 연관된 키워드를 기반으로 구성되어 있습니다. 또한 ‘kow.1월신고납부변동통지서.웹.한국’, ‘mid.edoc.view.kow.1월신고납부변동통지서.웹.한국’와 같은 퓨니코드(Punycode)를 활용한 한글 도메인을 공격 인프라로 사용하여, 한국 내 사용자를 주요 공격 대상으로 삼았음을 명확히 드러내고 있습니다.
피싱 이메일 내에 링크를 클릭하면 위 이미지와 같이 포털 사이트로 위장한 추가 페이지가 표시됩니다. 사용자가 해당 페이지에서 요구하는 정보를 입력할 경우, 공격자는 입력된 크리덴셜을 획득할 수 있는 구조로 설계되어 있습니다.
(MD5: 389788181316818d96cacddbf9333d8c)
매년 1,2월은 부가가치세 및 연말정산 등과 관련된 공공 서비스 접근이 다수 발생하는 시점이기 때문에, 이러한 공격으로 인한 피해가 발생할 가능성이 높습니다. 원활한 대응과 차단을 위해 로그프레소의 분석 IoC를 공개합니다.
*해당 콘텐츠에서 언급한 공격의 IoC는 Logpresso CTI 서비스의 2024년 12월 10일 이후 버전 기본 탐지 목록에도 포함되어 있습니다.
IoC
IP
118.194.249.171
118.193.69.139
118.193.69.248
118.193.68.90
123.58.200.248
156.244.19.38
156.244.19.218
123.58.200.51
123.58.200.152
118.194.248.232
Domain
authurize.niduser.info.dns.cloud.check-info.o-r.kr
cloud.check-info.o-r.kr
dns.cloud.check-info.o-r.kr
info.dns.cloud.check-info.o-r.kr
niduser.info.dns.cloud.check-info.o-r.kr
www.blog-master.o-r.kr
checking.www.blog-master.o-r.kr
niduser.checking.www.blog-master.o-r.kr
www.check-user.o-r.kr
info.www.check-user.o-r.kr
niduser.info.www.check-user.o-r.kr
signinfo.niduser.info.www.check-user.o-r.kr
www.verify-user.r-e.kr
info.www.verify-user.r-e.kr
niduser.info.www.verify-user.r-e.kr
signinfo.niduser.info.www.verify-user.r-e.kr
niduser.www.auth-check.o-r.kr
cloud.niduser.www.auth-check.o-r.kr
checking.cloud.niduser.www.auth-check.o-r.kr
www.auth-check.o-r.kr
www.user-check.o-r.kreinfo.mark-info.p-e.kr
niduser.www.user-check.o-r.kr
dns.niduser.www.user-check.o-r.kr
infochecker.dns.niduser.www.user-check.o-r.kr
www.dns-blog.n-e.kr
checker.www.dns-blog.n-e.kr
info.checker.www.dns-blog.n-e.kr
niduser.info.checker.www.dns-blog.n-e.kr
www.check-sign.o-r.kr
info.www.check-sign.o-r.kr
niduser.info.www.check-sign.o-r.kr
check.niduser.info.www.check-sign.o-r.kr
n-info.form-info.o-r.kr
einfo.general-info.o-r.kr
www.verify-user.o-r.kr
info.www.verify-user.o-r.kr
niduser.info.www.verify-user.o-r.kr
dns.niduser.info.www.verify-user.o-r.kr
signinfo.dns.niduser.info.www.verify-user.o-r.kr
checkinfo.blog-user.o-r.kr
www.checkinfo.blog-user.o-r.kr
info.safeblog.o-r.kr
checkmail.info.safeblog.o-r.kr
user.safeblog.o-r.kr
checkme.user.safeblog.o-r.kr
user.onlive-auth.r-e.kr
info.user.onlive-auth.r-e.kr
nmail.info.user.onlive-auth.r-e.kr
user.blog-security.o-r.kr
loginfo.user.blog-security.o-r.kr
https-auther-user.blogging.o-r.kr
http-auther-user.blogging.o-r.kr
www.auth-check.n-e.kr
info.www.auth-check.n-e.kr
niduser.info.www.auth-check.n-e.kr
cloud.niduser.info.www.auth-check.n-e.kr
dns-server.cloud.niduser.info.www.auth-check.n-e.kr
www.sign-dns.r-e.kr
info.www.sign-dns.r-e.kr
niduser.info.www.sign-dns.r-e.kr
www.dns-blog.r-e.kr
check.www.dns-blog.r-e.kr
info.check.www.dns-blog.r-e.kr
niduser.info.check.www.dns-blog.r-e.kr
einfo.mark-info.p-e.kr
n-doc.form-info.p-e.kr
bloginfo.private-info.p-e.kr
binfo.private-info.p-e.kr
n-doc.cloud-info.p-e.kr
goolgce.cloud
uppbit.cloud
ntshometax.cloud
nts-main.cloud
ntslawfirm.cloud
ntsapplication.cloud
www.ntshometax.cloud
nts-notify.cloud
cc.ntsguest.cloud
rcaptchanid.ntsguest.cloud
ncpt.ntsguest.cloud
lcs.ntsguest.cloud
naver.ntsguest.cloud
rcaptchanid.ntsservice.cloud
ncpt.ntsservice.cloud
rcaptchanid.ntsmanager.cloud
ncpt.ntsmanager.cloud
cc.ntsservice.cloud
lcs.ntsservice.cloud
cc.ntsmanager.cloud
ntsservice.cloud
naver.ntsservice.cloud
ntsdash.cloud
lcs.ntsmanager.cloud
naver.ntsmanager.cloud
ntsxteam.cloud
ntsmanager.cloud
ntsplus.cloud
ntsguest.cloud
ntspost.live
ntsmap.cloud
naver.ntsauth.online
ncpt.ntsauth.online
ntsauth.online
ntsauth.us
ntshome.top
ntsservice.cloud
ntsmanager.cloud
ntshome.live
naver.ntshome.live
ntshome.us
ntsguest.cloud
kow.xn--1-wb6eh4hj4dt5o56a42nfzdh3l5rhgtx.xn--yq5b.xn--3e0b707e
(kow.1월신고납부변동통지서.웹.한국)
view.kow.xn--1-wb6eh4hj4dt5o56a42nfzdh3l5rhgtx.xn--yq5b.xn--3e0b707e
(view.kow.1월신고납부변동통지서.웹.한국)
edoc.view.kow.xn--1-wb6eh4hj4dt5o56a42nfzdh3l5rhgtx.xn--yq5b.xn--3e0b707e
(edoc.view.kow.1월신고납부변동통지서.웹.한국)
mid.edoc.view.kow.xn--1-wb6eh4hj4dt5o56a42nfzdh3l5rhgtx.xn--yq5b.xn--3e0b707e
(mid.edoc.view.kow.1월신고납부변동통지서.웹.한국)
nood.xn--1-wb6eh4hj4dk0jflclyd4ybx3q8ueb8hg4e9yl142a.p-e.kr
(nood.1월신고납부변동통지서알림문.p-e.kr)
view.xn--1-wb6eh4hj4dt5o56a42nfzdh3l5rhgtx.xn--2i0b10rqve.xn--3e0b707e
(view.1월신고납부변동통지서.블로그.한국)
edoc.view.xn--1-wb6eh4hj4dt5o56a42nfzdh3l5rhgtx.xn--2i0b10rqve.xn--3e0b707e
(edoc.view.1월신고납부변동통지서.블로그.한국)
nood.edoc.view.xn--1-wb6eh4hj4dt5o56a42nfzdh3l5rhgtx.xn--2i0b10rqve.xn--3e0b707e
(nood.edoc.view.1월신고납부변동통지서.블로그.한국)
