与朝鲜结盟的威胁行为者 Kimsuky 与一系列网络钓鱼攻击有关,这些攻击涉及发送源自俄罗斯发件人地址的电子邮件,最终进行凭据盗窃。
“直到 9 月初,网络钓鱼电子邮件主要通过日本和韩国的电子邮件服务发送,”韩国网络安全公司 Genians 表示。“然后,从 9 月中旬开始,观察到一些伪装成是从俄罗斯发送的网络钓鱼电子邮件。”
这会导致滥用 VK 的 Mail.ru 电子邮件服务,该服务支持五个不同的别名域,包括 mail.ru、internet.ru、bk.ru、inbox.ru 和 list.ru。
Genians 表示,它观察到 Kimsuky 行为者利用上述所有发件人域进行网络钓鱼活动,这些活动伪装成金融机构和 Naver 等互联网门户。
其他网络钓鱼攻击需要发送模仿 Naver 的 MYBOX 云存储服务的消息,旨在通过诱导一种虚假的紧迫感来诱骗用户点击链接,即在他们的帐户中检测到恶意文件,他们需要删除它们。
自 2024 年 4 月下旬以来,已经记录了以 MYBOX 为主题的网络钓鱼电子邮件的变体,早期的浪潮使用日本、韩国和美国域作为发件人地址。
虽然这些消息表面上是从“mmbox[.]ru“和”ncloud[.]ru“的进一步分析表明,威胁行为者利用了属于 Evangelia University (evangelia[.]edu) 来使用名为 Star 的基于 PHP 的邮件服务发送消息。
值得注意的是,企业安全公司 Proofpoint 此前曾记录了 Kimsuky 对 PHPMailer 和 Star 等合法电子邮件工具的使用。
根据 Genians 的说法,这些攻击的最终目标是进行凭据盗窃,然后可以用来劫持受害者帐户并使用它们对其他员工或熟人发起后续攻击。
多年来,Kimsuky 已被证明擅长开展面向电子邮件的社会工程活动,采用技术欺骗电子邮件发件人,使其看起来好像来自受信任方,从而逃避安全检查。
今年早些时候,美国政府谴责网络行为者利用“配置不当的基于 DNS 域的消息身份验证、报告和一致性 (DMARC) 记录策略来隐藏社会工程尝试”。
信息来源:https://thehackernews.com/2024/12/north-korean-kimsuky-hackers-use.html
AI API 安全 DMARC 中国 云安全 五角大楼 人工智能 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 木马病毒 欺诈管理和网络犯罪 欺骗 民族国家攻击 漏洞和威胁 特朗普政府 社会工程学 社会工程学、网络战 移动安全 端点安全 缺口 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 联邦贸易委员会 脆弱性 金融与银行 间谍软件 阿联酋 骗局