Северокорейскую хакерскую группировку Kimsuky эксперты по кибербезопасности компании Genians обвинили в серии фишинговых атак, в рамках которых злоумышленники массово отправляли сообщения по электронной почте с российских email-адресов с целью кражи учётных данных пользователей из разных стран мира.
В заявлении южнокорейской ИБ-компании говорится, что изначально хакеры из группировки Kimsuky отправляли фишинговые письма преимущественно через почтовые сервисы Японии и Кореи. Однако с середины сентября 2024 года начали фиксироваться фишинговые письма, замаскированные под отправленные из России.
Аналитики отмечают, что хакеры активно пользовались почтовым сервисом Mail.ru, который поддерживает пять различных доменных псевдонимов: mail.ru, internet.ru, bk.ru, inbox.ru и list.ru.
В Genians заявили, что наблюдали, как хакеры из Kimsuky использовали все указанные домены отправителей для фишинговых кампаний, маскирующихся под финансовые учреждения и интернет-порталы, например, Naver.
Другие зарегистрированные фишинговые атаки со стороны северокорейских хакеров были связаны с отправкой сообщений, имитирующих облачный сервис хранения данных MYBOX от компании Naver. Эти письма были направлены на то, чтобы заставить пользователей перейти по ссылкам, вызывая ложное чувство срочности, что в их аккаунтах обнаружены вредоносные файлы, которые необходимо удалить.
По словам экспертов, различные варианты фишинговых писем на тему MYBOX фиксируются с конца апреля 2024 года. Причём в первых волнах атак в качестве адресов отправителей использовались домены Японии, Южной Кореи и США.
Уточняется, что, хотя сообщения якобы отправлялись с доменов «mmbox[.]ru» и «ncloud[.]ru», дальнейший анализ показал, что хакеры использовали взломанный сервер электронной почты, принадлежащий Evangelia University (evangelia[.]edu), для отправки сообщений с помощью почтовой службы Star на базе PHP.
Эксперты подчёркивают, что использование хакерской группировкой Kimsuky легитимных инструментов электронной почты, например, PHPMailer и Star, ранее уже документировалось фирмой по кибербезопасности Proofpoint в ноябре 2021 года.
Оригинал публикации на сайте CISOCLUB: "Северокорейских хакеров обвинили в использовании российских email-адресов для кибератак".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.