팔로우 
요약
DHL로 위장한 피싱 캠페인은 사용자 자격 증명을 탈취하도록 설계되었습니다. 공격 체인은 가짜 일회용 비밀번호 페이지와 브랜드화된 로그인 포털을 사용한 후, EmailJS를 통해 수집된 데이터를 추출합니다. 자격 증명이 도난당한 후에는 의심을 줄이기 위해 피해자를 적법한 DHL 웹사이트로 리디렉션합니다. 이 작전은 비교적 가벼운 인프라에 의존하면서 전 세계 소비자를 대상으로 하는 것으로 보입니다.
조사
Forcepoint X-Labs는 피싱 이메일, 악성 링크 및 클라이언트 측 OTP를 생성하는 JavaScript를 조사했습니다. 분석 결과, 피싱 키트가 공격자가 제어하는 메일박스로 수집된 정보를 전송하기 전에 기기 및 지리적 위치 세부 정보를 수집한 것으로 나타났습니다. 연구원들은 샌드박스 환경에서 전체 공격 흐름을 재현할 수 있었습니다.
완화
조직은 의심스러운 발신자 도메인을 차단하고 스푸핑을 나타낼 수 있는 DKIM 정렬 불일치를 주시해야 합니다. 보안 팀은 확인된 악성 도메인으로 연결되는 URL을 필터링하거나 차단해야 합니다. 인지도 없는 EmailJS 활동을 모니터링하면 자격 증명 도난 시도를 발견하는 데 도움이 되며, DHL 관련 계정에 MFA를 적용하면 또 다른 보호 계층이 추가됩니다.
응답
방어자는 피싱 캠페인에 대해 대상 사용자를 알리고, 타협된 계정에 대해 비밀번호 재설정을 요구해야 합니다. 악성 이메일은 격리되어야 하며, 관련 도메인은 이메일 및 웹 게이트웨이 레이어에서 차단되어야 합니다. 감지 규칙도 관찰된 URL 패턴 및 EmailJS 기반의 추출 방법을 식별하도록 업데이트되어야 합니다.
graph TB %% Class Definitions classDef action fill:#99ccff classDef technique fill:#ffcc99 %% Nodes phishing_email[“<b>행동</b> – <b>T1566 피싱</b><br/><b>설명</b>: 합법적인 것처럼 보이는 악성 이메일을 보내 피해자를 유인합니다.<br/><b>하위 기술</b>: 이메일 스푸핑 (T1672)”] class phishing_email action fake_otp_page[“<b>행동</b> – <b>T1656 사칭</b> 및 <b>T1001.003 프로토콜 사칭</b><br/><b>설명</b>: 대상 서비스를 모방한 가짜 일회용 비밀번호 페이지를 호스팅합니다.”] class fake_otp_page action gather_email[“<b>기술</b> – <b>T1589 피해자 신원 정보 수집</b><br/><b>설명</b>: 가짜 페이지에서 피해자의 이메일 주소를 수집합니다.”] class gather_email technique browser_discovery[“<b>기술</b> – <b>T1217 브라우저 정보 수집</b> 및 <b>T1596.005 공개 기술 데이터베이스 검색</b><br/><b>설명</b>: 피해자 환경의 브라우저, 장치 및 운영 체제 정보를 식별합니다.”] class browser_discovery technique credential_harvest[“<b>행동</b> – <b>T1056.003 웹 포털 캡처</b><br/><b>설명</b>: 피해자를 자격 증명 수집용 웹 포털로 리디렉션합니다.”] class credential_harvest action exfil_emailjs[“<b>기술</b> – <b>T1114 이메일 수집</b> 및 <b>T1102.002 웹 서비스 양방향 통신</b><br/><b>설명</b>: EmailJS를 사용하여 자격 증명 및 세션 데이터를 유출합니다.”] class exfil_emailjs technique legit_redirect[“<b>행동</b> – 데이터 유출 후 피해자를 합법적인 DHL 사이트로 리디렉션합니다.”] class legit_redirect action %% Connections phishing_email –>|leads_to| fake_otp_page fake_otp_page –>|collects| gather_email fake_otp_page –>|collects| browser_discovery gather_email –>|provides| credential_harvest browser_discovery –>|provides| credential_harvest credential_harvest –>|exfiltrates| exfil_emailjs exfil_emailjs –>|final_redirect| legit_redirect
공격 흐름
## 시뮬레이션 실행
전제 조건: 테스터 및 기준점 비행 전 확인이 통과해야 합니다.
이유: 이 섹션에서는 탐지 규칙을 트리거하기 위해 고안된 적대적 기술(TTP)의 정확한 실행을 상세히 설명합니다. 명령과 설명은 식별된 TTP를 직접 반영하고 탐지 논리에 의해 예상되는 정확한 원격 측정을 생성하는 것을 목표로 해야 합니다.
-
공격 서술 및 명령:
DHL 자격 증명을 수확하기 위해 목표를 둔 공격자는
cupelva.com도메인(알려진 유사 도메인)을 스푸핑하고 최근 캠페인에서 사용된 정확한 제목 행으로 이메일을 작성합니다. 이 이메일을 손상된 외부 SMTP 서버를 통해 보내면 메시지가 Exchange 받은 편지함에 도달하여 규칙의 기준과 일치하는 전송 로그를 생성합니다. -
회귀 테스트 스크립트:
# 시뮬레이션 피싱 이메일 - 탐지 규칙을 트리거해야 함 $smtpServer = "smtp.malicious-host.com" # 외부 손상 서버 $msg = @{ From = "dhl@cupelva.com" To = "victim@contoso.com" Subject = "DHL 발송장 확인 필요" Body = @" 고객님,
최근 발송물의 송장이 확인을 필요로 합니다. 아래 링크를 클릭하여 세부 정보를 확인해 주십시오:
https://malicious.example.com/verify
드림, DHL Express “@ SmtpServer = $smtpServer } Send-MailMessage @msg
- **정리 명령:**
powershell
# 희생자의 사서함에서 테스트 이메일 제거 (Exchange PowerShell)
Import-Module ExchangeOnlineManagement
Connect-ExchangeOnline -UserPrincipalName admin@contoso.com
Search-Mailbox -Identity "victim@contoso.com" -SearchQuery 'Subject:"DHL 발송장 확인 필요"' -DeleteContent
Disconnect-ExchangeOnline -Confirm:$false## 회피 평가 및 경화 권장 사항
| 잠재적인 회피 기법 | 가능성 | 규칙에 미치는 영향 | 완화 |
|---|---|---|---|
| 제목 행을 변경 (예: 공백 추가, 대소문자 변경) | 높음 | 규칙이 이벤트를 놓침 | 대소문자 구분 없는 정규 표현식 및 모호한 키워드 매칭 사용 (subject|contains|regex: "DHLs+EXPRESS.*WAYBILL.*REQUIRED"). |
다른 스푸핑 도메인 사용 (예: dhl-express.co) |
높음 | 규칙이 이벤트를 놓침 | DKIM/SPF 실패 감지를 통합하고 발신자 도메인과 상관없이 알려진 브랜드 관련 키워드를 검색하세요. |
| 악성 링크를 삽입하지만 제목은 변경하지 않음 | 중간 | 규칙이 계속 발동 (좋음) | URL 평판 검사를 추가하여 신뢰도를 높입니다. |
| 본문 대신 첨부파일로 전송 (T1192) | Low | 규칙에 영향 없음 (제목이 여전히 일치) | 규칙을 확장하여 첨부파일 메타데이터 (파일 이름, MIME 유형) 검사. |
권장 사항
- 발신자 평가 확대: 단일 하드 코딩 도메인 대신, ‘dhl.com’ 브랜드에 대한 SPF/DKIM 정렬에 실패하고 DHL 관련 키워드를 포함한 모든 이메일을 플래그하세요.
- 모호한 제목 매칭: 정확한 문자열 매치 대신, 변형, 대소문자 차이, 일반적인 눈속임을 캡처하는 정규식으로 교체하세요.
- URL 평판으로 풍부하게: 메시지 본문에서 URL을 파싱; 링크가 알려진 악성 호스트로 해석되거나 URL 단축기를 사용하는 경우 플래그합니다.
- 첨부 파일 휴리스틱 추가: 규칙이
attack.t1192를 태그할 때, DHL 관련 피싱에서 일반적으로 사용되는 이중 확장 파일이나 스크립트에 대한 검사를 통합합니다.
이러한 경화 단계를 구현하면 단순한 회피에 대한 위험을 줄이고 낮은 허위 긍정률을 유지하면서 복원력 점수를 4–5까지 향상시킵니다.