IOC:
http://www.naver.com/more.html
http://accountskakao.bim-mgn.com
http://nid.bim-mgn.com
http://wwwid.bim-mgn.com
http://accountskakao.bim-mgn.com
http://nid.bim-mgn.com
http://wwwid.bim-mgn.com
요약:
Contents Management System)는 2013년 3월부터 ‘그누보드 5’가 릴리즈 되었는데, 다수의 웹취약점이 존재하는 ‘그누보드 4’ 기반의 웹사이트가 아직도 매우 많은 것으로 확인된다.
ASEC 분석팀에서 확보한 Reverse DNS 데이터와 관련 IP/도메인 및 연관 파일로 판단컨대, Kimsuky 조직의 소행으로 추정하고 있다.
현재도 다수의 도메인을 활용하여 제작된 카카오/네이버 를 사칭한 웹페이지가 확인되고 있으며, ID 포맷에 완성되는 계정은 수시로 변경되면서 공격이 지속되고 있음을 밝혀둔다. 실제로, 카카오 로그인 페이지를 위장한 화면에서는 입력 완성 되어있던 ID가 이틀 간격을 두고 언론사 기자에서 통일부 산하 특정 회원단체의 대표계정으로 변경된 것을 확인하였으며, 위에 소개한 URL에서도 짧은 간격을 두고 입력 완성 되어있는 계정이 변경된 것을 확인할 수 있었다.
애플리케이션과 연동된 계정으로 로그인 할 수 있는 간편 로그인 기능이 도입되면서, 사용자가 무의식적으로 로그인을 하도록 의도한 것으로 보인다. 사용자는 인증 여부가 불분명한 웹페이지에서의 무분별한 로그인은 절대 하지 말아야 하며 , 만약 계정이 .....
네이버 로그인화면으로 위장한 웹페이지 - ASEC BLOG:
https://asec.ahnlab.com/ko/46916/
