Tin tặc Triều Tiên sử dụng địa chỉ email của Nga để tấn công đánh cắp thông tin xác thực

14:00 | 10/12/2024 | HACKER / MALWARE
Nhóm tin tặc liên kết với Triều Tiên có tên Kimsuky được cho là liên quan đến một loạt các cuộc tấn công lừa đảo bằng cách gửi các email từ địa chỉ người gửi ở Nga để thực hiện hành vi đánh cắp thông tin đăng nhập.

Công ty an ninh mạng Genians của Hàn Quốc cho biết: "Email lừa đảo chủ yếu được gửi qua các dịch vụ email tại Nhật Bản và Hàn Quốc cho đến đầu tháng 9/2024, sau đó từ giữa tháng 9, một số email lừa đảo được ngụy trang với địa chỉ người gửi từ Nga đã bị phát hiện".

Hành động của tin tặc bao gồm việc lạm dụng dịch vụ email Mail[.]ru của VK, hỗ trợ 5 tên miền bí danh khác nhau gồm: mail[.]ru, internet[.]ru, bk[.]ru, inbox[.]ru và list[.]ru.

Genians cho biết họ đã quan sát thấy nhóm tin tặc Kimsuky lợi dụng tất cả các tên miền người gửi đã đề cập ở trên cho chiến dịch lừa đảo trá hình thành các tổ chức tài chính và cổng thông tin Internet như Naver.

Các cuộc tấn công lừa đảo khác bao gồm việc gửi các tin nhắn bắt chước dịch vụ lưu trữ đám mây MYBOX của Naver, nhằm mục đích đánh lừa người dùng nhấp vào các liên kết bằng cách tạo ra các thông báo cho người nhận rằng các tệp độc hại đã được phát hiện trong tài khoản của họ và họ cần phải xóa chúng.

Các biến thể của email lừa đảo bắt trước MYBOX đã được ghi nhận kể từ cuối tháng 4/2024, với các đợt tấn công đầu tiên sử dụng tên miền Nhật Bản, Hàn Quốc và Hoa Kỳ làm địa chỉ người gửi.

Email của nhóm tin tặc Kimsuky có liên kết với Triều Tiên

Thời gian tin tặc tấn công đánh cắp thông tin xác thực theo Genians

Mặc dù, nhóm tin nhắn này bề ngoài sử dụng email gửi từ các miền như "mmbox[.]ru" và "ncloud[.]ru", nhưng các phân tích sâu hơn đã tiết lộ rằng chúng đã lợi dụng một máy chủ email bị xâm phạm thuộc Đại học Evangelia (evangelia[.]edu) để gửi tin nhắn bằng dịch vụ gửi thư dựa trên PHP có tên là Star.

Điều đáng chú ý là việc chúng sử dụng các công cụ email hợp pháp như PHPMailer và Star đã từng được công ty bảo mật doanh nghiệp Proofpoint ghi nhận vào tháng 11/2021.

Theo Genians, mục tiêu cuối cùng của các cuộc tấn công này là thực hiện hành vi trộm cắp thông tin đăng nhập, sau đó có thể dùng thông tin này để chiếm đoạt tài khoản của nạn nhân và dùng chúng để thực hiện các cuộc tấn công tiếp theo.

Trong nhiều năm qua, nhóm tin tặc Kimsuky đã chứng minh mình rất thành thạo trong việc thực hiện các chiến dịch tấn công sử dụng kỹ nghệ xã hội để giả mạo người gửi email như thể họ đến từ các bên đáng tin cậy, từ đó có thể tránh được các cuộc kiểm tra bảo mật.

Thanh Bình

Tin cùng chuyên mục

Tin mới